Administration

Transcription

Administration

Guide d'administration
BES12 Cloud
Publié : 2016-08-30
SWD-20160830124211117
Table des matières
À propos de ce guide...................................................................................................... 13
Mise en route................................................................................................................. 14
Étapes à suivre pour administrer BES12.......................................................................................................................... 14
Exemples de scénarios d'administration quotidiens..................................................................................................14
À propos de PRIV et de BES12 ....................................................................................................................................... 16
Étapes à suivre pour déployer PRIV dans votre environnement BES12 ..................................................................... 16
Options de gestion de terminaux..................................................................................................................................... 17
Contrôles MDM........................................................................................................................................................17
Travail et personnel..................................................................................................................................................18
Espace Travail uniquement...................................................................................................................................... 18
Configuration de Secure Work Space pour les terminaux iOS et Android ..........................................................................18
Connectivité d'entreprise et serveurs proxy.............................................................................................................. 19
Gestion des terminaux dotés d'un Work Space......................................................................................................... 19
Mise à niveau des applications du Work Space......................................................................................................... 20
Tester la connexion à Secure Work Space ................................................................................................................ 20
Se connecter à BES12 ................................................................................................................................................... 21
À propos de BES12 Self-Service ..................................................................................................................................... 21
Fonctionnalités prises en charge par type de terminal..................................................... 22
Administrateurs..............................................................................................................29
Étapes à suivre pour configurer des administrateurs........................................................................................................ 29
Personnalisation de l'apparence des consoles.................................................................................................................30
Création de signets de site Web dans les consoles........................................................................................................... 30
Modifier la langue pour les e-mails automatisés...............................................................................................................31
Création et gestion des rôles........................................................................................................................................... 31
Rôles préconfigurés................................................................................................................................................. 31
Créer un rôle personnalisé....................................................................................................................................... 41
Afficher un rôle........................................................................................................................................................ 42
Modifier les paramètres de rôle................................................................................................................................ 42
Supprimer un rôle....................................................................................................................................................43
Comment BES12 choisit le rôle à attribuer............................................................................................................... 44
Créer un administrateur.................................................................................................................................................. 45
Modifier l'appartenance de rôle pour les administrateurs.................................................................................................46
Supprimer un administrateur.......................................................................................................................................... 47
Profils.............................................................................................................................48
Attribution de profils....................................................................................................................................................... 48
Comment BES12 choisit les profils à attribuer................................................................................................................. 50
Gestion des profils ..........................................................................................................................................................51
Copier un profil........................................................................................................................................................ 51
Afficher un profil...................................................................................................................................................... 51
Modifier les paramètres de profil..............................................................................................................................52
Supprimer un profil de comptes d'utilisateur ou de groupes d'utilisateurs................................................................. 52
Supprimer un profil ................................................................................................................................................. 53
Classer les profils.....................................................................................................................................................53
Variables........................................................................................................................ 55
Utilisation de variables dans les profils............................................................................................................................ 55
Variables par défaut........................................................................................................................................................ 55
Variables personnalisées.................................................................................................................................................58
Définir des variables personnalisées.........................................................................................................................58
Utilisation de variables personnalisées..................................................................................................................... 59
Certificats.......................................................................................................................60
Étapes de l'utilisation des certificats avec des terminaux................................................................................................. 60
Intégration de BES12 avec le logiciel PKI de votre organisation........................................................................................ 61
Connectez BES12 au logiciel Entrust de votre organisation....................................................................................... 61
Connectez BES12 au logiciel OpenTrust de votre organisation.................................................................................. 62
Envoi de certificats aux terminaux à l'aide de profils........................................................................................................ 63
Choix des profils pour envoyer des certificats client aux terminaux............................................................................63
Envoi de certificats CA à des terminaux.................................................................................................................... 64
Utilisation d'un profil SCEP pour envoyer des certificats client sur des terminaux...................................................... 66
Utilisation de profils d'informations d'identification de l'utilisateur pour envoyer des certificats aux terminaux.......... 67
Envoi du même certificat client à plusieurs terminaux.............................................................................................. 69
E-mail, Wi-Fi, VPN et autres connexions professionnelles................................................ 71
Étapes à suivre pour configurer les connexions professionnelles des terminaux................................................................71
Gestion des connexions professionnelles à l'aide des profils............................................................................................ 71
Meilleure pratique : création de profils de connexions professionnelles............................................................................ 73
Configuration d'une messagerie professionnelle pour les terminaux.................................................................................73
Créer un profil de messagerie...................................................................................................................................74
Créer un profil de messagerie IMAP/POP3................................................................................................................75
Extension de la sécurité de la messagerie à l'aide de S/MIME................................................................................... 76
Extension de la sécurité de la messagerie avec PGP ................................................................................................ 82
Application des e-mails sécurisés à l'aide de la classification de messages............................................................... 83
Création de profils proxy pour les terminaux.................................................................................................................... 84
Créer un profil proxy................................................................................................................................................ 85
Configuration de réseaux Wi-Fi professionnels pour les terminaux....................................................................................87
Créer un profil Wi-Fi ................................................................................................................................................ 88
Configuration de réseaux VPN professionnels pour les terminaux.....................................................................................89
Créer un profil VPN.................................................................................................................................................. 90
Activation d'un VPN à la demande pour les terminaux iOS ou OS X .......................................................................... 91
Activation d'un VPN par application......................................................................................................................... 91
Configuration de la connectivité d'entreprise pour les terminaux......................................................................................92
Configuration de l'authentification avec identification unique pour les terminaux............................................................. 92
Conditions préalables : utilisation de l'authentification Kerberos pour les terminaux..................................................93
Authentification basée sur des certificats pour iOS 8 ou version ultérieure................................................................ 93
Créer un profil d'identification unique...................................................................................................................... 94
Configuration des profilsCardDAVetCalDAVpour les terminauxiOS etOS X devices............................................................ 96
Créer un profil CardDAV .......................................................................................................................................... 96
Créer un profil CalDAV .............................................................................................................................................96
Configuration de la fonction Enterprise Data Protection pour les terminaux Windows 10...................................................97
Créer un profil Enterprise Data Protection................................................................................................................ 98
Utilisation de BlackBerry Secure Connect Plus pour des connexions sécurisées aux ressources professionnelles............. 99
Étapes à suivre pour activer BlackBerry Secure Connect Plus ................................................................................ 100
Exigences liées au serveur et au terminal............................................................................................................... 100
Activation et configuration de BlackBerry Secure Connect Plus ............................................................................. 102
Résolution des problèmesBlackBerry Secure Connect Plus ................................................................................... 107
Normes relatives aux terminaux.................................................................................... 110
Étapes à suivre pour configurer les normes de votre organisation pour les terminaux......................................................110
Gestion des normes relatives aux terminaux à l'aide de profils....................................................................................... 110
Application des règles de conformité aux terminaux...................................................................................................... 111
Créer un profil de conformité................................................................................................................................. 112
Création d'un modèle pour les notifications d'e-mail de conformité........................................................................ 115
Filtrage de contenu Web sur les terminaux iOS ............................................................................................................. 116
Créer un profil de filtre de contenu Web................................................................................................................. 117
Limiter les terminaux à une application......................................................................................................................... 118
Créer un profil du mode de verrouillage.................................................................................................................. 118
Contrôle des versions du logiciel que les utilisateurs peuvent installer sur les terminaux BlackBerry 10 ..........................119
Créer un profil de la configuration logicielle minimale requise du terminal...............................................................120
Afficher les utilisateurs exécutant une version annulée du logiciel...........................................................................121
Gestion des domaines de messagerie et des domaines Web pour les terminaux iOS 8.................................................... 121
Créer un profil de domaines gérés..........................................................................................................................122
Configuration des domaines autorisés et limités sur les terminaux avec espace Travail................................................... 123
Configurer les domaines autorisés et limités dans l'espace Travail.......................................................................... 123
Création d'avis d'entreprise à afficher sur les terminaux ................................................................................................124
Créer des avis d'entreprise.....................................................................................................................................124
Affichage des informations d'entreprise sur les terminaux .............................................................................................125
Créer un profil de terminal..................................................................................................................................... 125
Création d'icônes Web pour les terminauxiOS et les terminauxOS X ..............................................................................127
Ajouter un profil d'icône Web................................................................................................................................. 127
Utilisation des services de localisation sur les terminaux................................................................................................128
Configurer les paramètres du service de localisation.............................................................................................. 128
Créer un profil de service de localisation................................................................................................................ 129
Gestion des fonctionnalités iOS à l'aide des profils de charge utile personnalisée........................................................... 130
Création d'un profil de charge utile personnalisée.................................................................................................. 130
Créer un profil AirPrint ..................................................................................................................................................132
Configuration de profils AirPlay pour les terminaux iOS ................................................................................................. 133
Créer un profil AirPlay ........................................................................................................................................... 133
Contrôle de l'utilisation du réseau pour les applications professionnelles sur les terminaux iOS ......................................134
Créer un profil d'utilisation du réseau..................................................................................................................... 134
Stratégies informatiques...............................................................................................136
Étapes à suivre pour gérer des stratégies informatiques.................................................................................................136
Limiter ou autoriser les fonctionnalités du terminal........................................................................................................ 137
Configuration des exigences de mot de passe du terminal............................................................................................. 137
Configuration des exigences de mot de passe pour BlackBerry 10 ......................................................................... 137
Configuration des exigences de mot de passe pour iOS ..........................................................................................139
Configuration des exigences de mot de passe pour Android ...................................................................................143
Configuration des exigences de mot de passe pour Windows ................................................................................. 151
Comment BES12 choisit la stratégie informatique à attribuer.........................................................................................153
Création et gestion des stratégies informatiques............................................................................................................ 154
Créer une stratégie informatique............................................................................................................................154
Copier une stratégie informatique.......................................................................................................................... 154
Classer les stratégies informatiques....................................................................................................................... 155
Afficher une stratégie informatique........................................................................................................................ 155
Modifier une stratégie informatique....................................................................................................................... 156
Supprimer une stratégie informatique de comptes d'utilisateur ou groupes d'utilisateurs........................................156
Supprimer une stratégie informatique.................................................................................................................... 157
Exporter des stratégies informatiques.................................................................................................................... 157
Applications................................................................................................................. 159
Ajout et suppression d'applications à partir de la liste des applications.......................................................................... 159
Ajout d'applications publiques à la liste des applications........................................................................................ 159
Ajout d'applications internes à la liste des applications...........................................................................................166
Supprimer une application de la liste des applications............................................................................................168
Comportement de l'application sur les terminaux Android ..................................................................................... 169
Comportement de l'application sur les terminaux iOS ............................................................................................ 175
Comportement de l'application sur les terminaux BlackBerry ................................................................................ 178
Comportement de l'application sur les terminaux Windows 10 ...............................................................................179
Empêcher les utilisateurs d'installer des applications iOS, Android et Windows Phone spécifiques................................. 180
Étapes à suivre pour empêcher les utilisateurs d'installer des applications..............................................................181
Ajouter une application à la liste des applications limitées...................................................................................... 181
Gestion des groupes d'applications............................................................................................................................... 182
Créer un groupe d'applications.............................................................................................................................. 183
Modifier un groupe d'applications..........................................................................................................................184
Gestion des comptes VPP Apple ...................................................................................................................................184
Ajouter un compte VPP Apple ............................................................................................................................... 184
Modifier un compte VPP Apple ..............................................................................................................................185
Mettre à jour les informations de compte VPP Apple .............................................................................................. 185
Supprimer un compte VPP Apple .......................................................................................................................... 186
Attribution de licences VPP Apple aux terminaux...........................................................................................................186
Afficher une attribution de licence VPP Apple.........................................................................................................187
Spécifier si une application est requise ou facultative.................................................................................................... 187
Afficher l'état des applications et des groupes d'applications attribués à des comptes d'utilisateur................................ 188
Afficher les applications attribuées à des groupes d'utilisateurs..................................................................................... 188
Mettre à jour les informations dans la liste des applications........................................................................................... 189
Mettre à jour les autorisations des applications Android for Work ...................................................................................189
Accepter les autorisations d'applications pour les applications Android for Work ........................................................... 190
Définir le nom d'entreprise pour BlackBerry World ........................................................................................................191
Personnalisation de l'icône Applications professionnelles pour les terminaux iOS .......................................................... 191
Personnaliser l'icône Applications professionnelles................................................................................................ 192
Utilisateurs et groupes..................................................................................................193
Procédure de création de groupes et comptes d'utilisateur............................................................................................193
Création de rôles d'utilisateur........................................................................................................................................193
Fonctionnalités de BES12 Self-Service...................................................................................................................194
Création d'un rôle d'utilisateur............................................................................................................................... 195
Comment BES12 choisit-il l'attribution du rôle d'utilisateur ?.................................................................................. 195
Classement des rôles d'utilisateur..........................................................................................................................195
Attribuer un rôle d'utilisateur à un groupe.............................................................................................................. 195
Attribuer un rôle d'utilisateur à un utilisateur.......................................................................................................... 196
Création et gestion de groupes d'utilisateurs................................................................................................................. 196
Création d'un groupe lié par annuaire.................................................................................................................... 197
Créer un groupe local.............................................................................................................................................199
Afficher un groupe d'utilisateurs............................................................................................................................ 200
Modifier le nom d'un groupe d'utilisateurs............................................................................................................. 200
Supprimer un groupe d'utilisateurs........................................................................................................................ 200
Ajouter un groupe d'annuaires d'entreprise à un groupe lié par annuaire existant................................................... 201
Ajouter des groupes imbriqués à un groupe d'utilisateurs....................................................................................... 201
Supprimer les groupes imbriqués d'un groupe d'utilisateurs...................................................................................201
Attribuer une stratégie informatique à un groupe d'utilisateurs............................................................................... 202
Attribuer un profil à un groupe d'utilisateurs...........................................................................................................202
Attribuer une application à un groupe d'utilisateurs................................................................................................203
Attribuer un groupe d'applications à un groupe d'utilisateurs................................................................................. 205
Création de groupes de terminaux.................................................................................................................................206
Créer un groupe de terminaux................................................................................................................................207
Modifier un groupe de terminaux ...........................................................................................................................208
Définition des paramètres des groupes de terminaux............................................................................................. 209
Afficher un groupe de terminaux............................................................................................................................ 210
Modifier le nom d'un groupe de terminaux............................................................................................................. 210
Supprimer un groupe de terminaux........................................................................................................................211
Création et gestion de comptes d'utilisateur.................................................................................................................. 211
Créer un compte d'utilisateur.................................................................................................................................211
Création de comptes d'utilisateur à partir d'un fichier .csv...................................................................................... 214
Afficher un compte d'utilisateur............................................................................................................................. 217
Gestion simultanée de plusieurs comptes utilisateur.............................................................................................. 217
Envoyer un e-mail aux utilisateurs.......................................................................................................................... 218
Modifier les informations de compte d'utilisateur................................................................................................... 219
Synchroniser des informations pour un utilisateur d'annuaire................................................................................. 219
Supprimer un compte d'utilisateur.........................................................................................................................220
Ajouter des utilisateurs à des groupes d'utilisateurs................................................................................................220
Modifier les groupes auxquels appartient un utilisateur.......................................................................................... 220
Supprimer un utilisateur d'un groupe d'utilisateurs................................................................................................ 221
Attribuer une stratégie informatique à un compte d'utilisateur................................................................................221
Attribuer un profil à un compte d'utilisateur........................................................................................................... 222
Ajouter un certificat client à un compte d'utilisateur............................................................................................... 222
Modifier un certificat client pour un compte d'utilisateur........................................................................................ 223
Attribuer une application à un compte d'utilisateur................................................................................................ 223
Attribuer un groupe d'applications à un compte d'utilisateur.................................................................................. 225
Affichage et personnalisation de la liste d'utilisateurs.................................................................................................... 227
Configuration de la vue par défaut ou avancée....................................................................................................... 227
Sélection des informations à afficher dans la liste des utilisateurs........................................................................... 228
Filtrage de la liste d'utilisateurs.............................................................................................................................. 228
Exportation d'une liste d'utilisateurs vers un fichier .csv .........................................................................................229
Activation des terminaux.............................................................................................. 230
Étapes à suivre pour activer des terminaux.................................................................................................................... 230
Exigences : Activation................................................................................................................................................... 231
Gérer l'expiration et la longueur du mot de passe d'activation par défaut....................................................................... 231
Activer l'inscription de l'utilisateur auprès de BlackBerry Infrastructure ........................................................................ 232
Prise en charge des activations Android for Work .......................................................................................................... 233
Prendre en charge les activations Android for Work avec un domaine Google Apps for Work ................................... 233
Prendre en charge les activations Android for Work avec un domaine Google for Work ............................................234
Sélectionnez les applications de productivité utilisées sur les terminaux PRIV utilisant Android for Work .................235
Activation d’un BlackBerry Hub unifié sur des terminaux PRIV qui utilisent Android for Work.................................. 236
Prise en charge des activations Windows 10 ................................................................................................................. 237
Gestion des modèles d'e-mail d'activation.....................................................................................................................237
Créer un modèle d'e-mail d'activation....................................................................................................................239
Créer un modèle d'e-mail d'activation Windows 10 ................................................................................................239
Créer un modèle d'e-mail d'activation Android for Work......................................................................................... 241
Modifier un modèle d'e-mail d'activation................................................................................................................242
Création de profils d'activation...................................................................................................................................... 242
Types d'activation : terminaux BlackBerry 10 ........................................................................................................ 243
Types d'activation : terminaux iOS .........................................................................................................................244
Types d'activation : terminaux OS X .......................................................................................................................245
Types d'activation : terminaux Android .................................................................................................................. 245
Types d'activation : terminaux Windows ................................................................................................................ 249
Créer un profil d'activation.....................................................................................................................................249
Définir un mot de passe d'activation et envoyer un e-mail d'activation........................................................................... 251
Envoyer un e-mail d'activation à plusieurs utilisateurs................................................................................................... 252
Autoriser les utilisateurs à définir des mots de passe d'activation BES12 Self-Service.................................................... 253
Activer un terminal BlackBerry 10 ................................................................................................................................ 253
Activer un terminal iOS .................................................................................................................................................254
Activer un terminal OS X ...............................................................................................................................................255
Activer un terminal Android ..........................................................................................................................................255
Activer un terminal Windows Phone ..............................................................................................................................256
Activer un terminal Windows 10 Mobile ........................................................................................................................ 257
Activer un terminal Windows 10 ................................................................................................................................... 258
Activation de plusieurs terminaux à l'aide de KNOX Mobile Enrollment.......................................................................... 259
Conseils pour résoudre les problèmes relatifs à l'activation des terminaux..................................................................... 260
Impossible de terminer l'activation du terminal en l'absence de licences suffisantes sur le serveur. Pour obtenir
de l'aide, contactez votre administrateur................................................................................................................261
Vérifiez votre nom d'utilisateur et votre mot de passe, puis réessayez..................................................................... 262
Impossible d'installer le profil. Le certificat AutoMDMCert.pfx n'a pas pu être importé............................................ 262
Erreur 3007 : le serveur n'est pas disponible.......................................................................................................... 263
Impossible de contacter le serveur. Vérifiez la connectivité ou l'adresse du serveur.................................................263
Les activations des terminaux iOS ou OS X échouent en présence d'un certificat APNs non valide...........................264
Les utilisateurs ne reçoivent pas d'e-mail d'activation............................................................................................ 264
Activation de terminaux iOS inscrits dans DEP...............................................................................................................264
Conditions préalables : utilisation de l'application Good for BES12 avec les terminaux inscrits dans DEP.................265
Étapes à suivre pour activer les terminaux inscrits dans DEP.................................................................................. 265
Enregistrer les terminaux iOS dans DEP et les attribuer à un serveur MDM..............................................................265
Attribuez une configuration d'inscription aux terminaux iOS .................................................................................. 266
Supprimer une configuration d'inscription attribuée aux terminaux iOS ................................................................. 266
Gestion des configurations d'inscription.................................................................................................................267
Afficher les paramètres d'une configuration d'inscription attribuée à un terminal....................................................268
Afficher les détails de l'utilisateur pour un terminal activé.......................................................................................268
Utilisation du verrouillage d'activation sur les terminaux iOS.......................................................................................... 269
Activation du verrouillage d'activation.................................................................................................................... 269
Désactivation du verrouillage d'activation.............................................................................................................. 269
Affichage du code de contournement du verrouillage d'activation.......................................................................... 270
Commandes et contrôles de terminal............................................................................271
Utilisation des rapports du tableau de bord................................................................................................................... 271
Modifier le type de graphique.................................................................................................................................272
Exporter un rapport du tableau de bord au format .csv............................................................................................272
Envoi de commandes aux terminaux............................................................................................................................. 272
Envoyer une commande à un terminal................................................................................................................... 273
Définir une heure d'expiration pour les commandes............................................................................................... 273
Commandes..........................................................................................................................................................273
Afficher et enregistrer un rapport de terminal................................................................................................................ 282
Vérification qu'un terminal est autorisé à accéder à la messagerie professionnelle et aux données de l'organiseur..........282
Vérifier qu'un terminal est autorisé.........................................................................................................................283
Utilisation d'Exchange Gatekeeping.............................................................................................................................. 283
Autoriser un terminal à accéder à Microsoft ActiveSync .........................................................................................283
Bloquer l'accès d'un terminal à Microsoft ActiveSync ............................................................................................ 284
Désactivation des terminaux......................................................................................................................................... 284
Localiser un terminal ....................................................................................................................................................285
Supprimer Secure Work Space des terminaux............................................................................................................... 285
Paramètres de profil .................................................................................................... 287
Paramètres de profil de messagerie.............................................................................................................................. 287
Communs : paramètres de profil de messagerie..................................................................................................... 287
BlackBerry 10 : paramètres de profil de messagerie............................................................................................... 288
iOS : paramètres de profil de messagerie............................................................................................................... 299
OS X : paramètres de profil de messagerie..............................................................................................................303
Android : paramètres de profil de messagerie.........................................................................................................304
Windows : paramètres de profil de messagerie....................................................................................................... 310
Paramètres de profil de messagerie IMAP/POP3............................................................................................................312
Communs : paramètres de profil de messagerie IMAP/POP3.................................................................................. 312
iOSetOS X : paramètres de profil de messagerie IMAP/POP3.................................................................................. 314
Android : paramètres de profil de messagerie IMAP/POP3......................................................................................317
Windows : paramètres de profil de messagerie IMAP/POP3.................................................................................... 317
Paramètres du profil SCEP............................................................................................................................................ 318
Communs : paramètres de profil SCEP................................................................................................................... 319
BlackBerry 10 : paramètres de profil SCEP.............................................................................................................321
iOS : paramètres de profil SCEP............................................................................................................................. 325
OS X : paramètres de profil SCEP........................................................................................................................... 327
Android : paramètres de profil SCEP...................................................................................................................... 329
Windows 10 : paramètres de profil SCEP................................................................................................................ 334
Paramètres du profil Wi-Fi ............................................................................................................................................ 336
Communs : paramètres de profil Wi-Fi ...................................................................................................................337
BlackBerry 10 : paramètres de profil Wi-Fi .............................................................................................................337
: paramètres de profil iOSOS XWi-Fi......................................................................................................................343
Android : paramètres de profil Wi-Fi ...................................................................................................................... 349
Windows : paramètres de profil Wi-Fi .....................................................................................................................354
Paramètres du profil VPN..............................................................................................................................................358
BlackBerry 10 : paramètres de profil VPN.............................................................................................................. 359
: paramètres de profil VPNiOSOS X........................................................................................................................371
Android : paramètres de profil VPN........................................................................................................................ 380
Windows 10 : paramètres de profil VPN ................................................................................................................. 385
Paramètres de profil Enterprise Data Protection............................................................ 391
Windows 10 : paramètres de profil de protection des données d'entreprise....................................................................391
Feuille de référence des stratégies................................................................................ 393
Glossaire...................................................................................................................... 394
Informations juridiques................................................................................................. 397
À propos de ce guide
À propos de ce guide
1
BES12 vous permet de gérer les terminaux de votre organisation. Ce guide explique comment administrer BES12, de la
création d'administrateurs à l'ajout d'utilisateur et de terminaux en passant par la gestion et la surveillance de BES12.
Les tâches du présent guide sont présentées dans un ordre particulier pour plus d'efficacité, notamment si vous administrez
BES12 pour la première fois.
Toutes les tâches décrites dans ce guide ne sont pas obligatoires. Vous pouvez choisir d'activer certains types de terminaux, de
séparer les données professionnelles et les données personnelles de différentes manières ou d'utiliser diverses règles de
conformité, fonctionnalités et connexions.
Ce guide est destiné aux professionnels de l'informatique qui occupent des fonctions de responsables de la configuration et de
l'administration deBES12. Avant d'utiliser ce guide, les professionnels de l'informatique doivent configurer l'environnement
deBES12. Pour en savoir plus,consultez le contenu relatif à la configuration.
13
Mise en route
Mise en route
2
Étapes à suivre pour administrer BES12
Pour administrer BES12, procédez comme suit :
Étape
Action
Si vous souhaitez partager les tâches d'administration avec d'autres membres de l'équipe informatique,
créez des administrateurs.
Configurez des connexions professionnelles. Par exemple, e-mail, Wi-Fi et VPN.
Configurez des normes pour les terminaux. Par exemple, règles de conformité.
Mettez à jour la stratégie informatique par défaut ou créez de nouvelles stratégies informatiques.
Déterminez les applications à envoyer aux terminaux.
Créez des utilisateurs et des groupes.
Attribuez les connexions professionnelles, normes des terminaux, stratégies informatiques et
applications aux utilisateurs et aux groupes.
Aidez les utilisateurs à activer leurs terminaux.
Exemples de scénarios d'administration quotidiens
Les scénarios suivants fournissent des exemples de choix que vous pourriez être amené à faire lors de la configuration de
différents terminaux pour différents utilisateurs.
14
Mise en route
Scénario
Gérer les terminaux BlackBerry 10 à des
fins professionnelles et personnelles
Gérer les terminaux iOS, Android ou
Windows avec une gestion de base
Configurer des terminaux iOS ou Android
pour renforcer la sécurité des données
professionnelles
Configurer des terminaux BlackBerry 10
à des fins professionnelles uniquement
Configurer un terminal iOS limité à une
application pour les démonstrations
logicielles
Vous voudrez peut-être
•
Créer des profils pour les certificats
•
Créer un profil avec authentification unique pour sécuriser les domaines
professionnels
•
Créer un profil pour un serveur proxy
•
Choisir le type d'activation Travail et Personnel - Entreprise ou Travail et
Personnel - Régulé
•
Créer des profils pour la messagerie professionnelle et le Wi-Fi
professionnel
•
Modifier la stratégie informatique par défaut pour appliquer un mot de
passe de terminal
•
Choisir une application professionnelle à envoyer au terminal
•
Choisir le type d'activation Contrôles MDM
•
Activer S/MIME pour renforcer la sécurité de la messagerie
•
Créer un profil de conformité pour empêcher l'accès aux ressources
professionnelles si le terminal venait à être « cracké » ou « flashé »
•
Créer un profil de filtre de contenu Web pour limiter sites Web auxquels le
terminal peut accéder
•
Configurer Secure Work Space pour séparer et sécuriser les données
professionnelles
•
Créer des profils pour les certificats et le réseau VPN
•
Activer S/MIME pour renforcer la sécurité de la messagerie
•
Créer une stratégie informatique pour empêcher l'utilisation de l'appareil
photo du terminal
•
Choisir le type d'activation Espace Travail uniquement
•
Créer un profil du mode de verrouillage
15
Mise en route
À propos de PRIV et de BES12
PRIV est un terminal sécurisé qui exécute Android OS. Pour gérer PRIV avec BES12, suivez les instructions relatives aux
terminaux Android.
Les types d'activation suivants sont disponibles pour PRIV :
•
Travail et Personnel - Confidentialité de l'utilisateur (Android for Work)
•
Travail et Personnel - Confidentialité de l'utilisateur (Android for Work - Premium)
•
Espace Travail uniquement (Android for Work)
•
Espace Travail uniquement (Android for Work - Premium)
•
Contrôles MDM
Remarque: Pour ce type d'activation, PRIV doit utiliser l'application TouchDown pour configurer le compte de
messagerie automatiquement.
•
Travail et Personnel - Contrôle total (Secure Work Space)
•
Travail et Personnel - Confidentialité de l'utilisateur (Secure Work Space)
•
Confidentialité de l'utilisateur
Nous vous recommandons d'activer PRIV à l'aide d'un type d'activation Android for Work pour atteindre l'expérience optimale.
Étapes à suivre pour déployer PRIV dans votre environnement
BES12
Pour déployer PRIV dans votre environnement BES12, procédez comme suit :
Étape
Action
Si vous envisagez d'utiliser un type d'activation Android for Work :
•
configurezBES12pour la prise en charge deAndroid for Work. Pour en savoir plus,consultez le
contenu relatif à la configuration.
•
Définissez BES12 pour prendre en charge les activations Android for Work. Reportez-vous à la
section Prise en charge des activations Android for Work .
Créer un profil d'activation. Pour plus d'informations, reportez-vous à Créer un profil
d'activation.Certains paramètres de profil de BES12 sont propres aux PRIV. Avec les autres paramètres
de profil de messagerie Android, les paramètres BlackBerry Productivity Suite et les paramètres S/MIME
s'appliquent uniquement aux PRIV.
16
Mise en route
Étape
Action
Attribuez les applications de productivité PRIV. Reportez-vous à la section Sélectionnez les applications
de productivité utilisées sur les terminaux PRIV utilisant Android for Work .
L'utilisateur active le terminal. Reportez-vous à la section Activer un terminal Android .
Remarque: L'utilisateur doit s'assurer de vérifier le bandeau de notification pour la notification sur la
synchronisation du compte et entrer le mot de passe. Sinon, aucun e-mail n'est envoyé à PRIV.
Pour plus d'informations sur l'activation de PRIV, rendez-vous sur https://www.youtube.com/watch?
v=9ogKNLV2NMI pour visionner la vidéo « Activation d'un terminal PRIV avec Android for Work ».
Options de gestion de terminaux
BES12 prend en charge différentes options de gestion des terminaux. Les options que vous choisissez dépendent des types de
terminaux que vous gérez et des exigences de sécurité de votre organisation.
BES12 prend en charge les options de gestion suivantes :
•
Contrôles MDM
•
Travail et personnel
•
Espace Travail uniquement
Pour chaque option de gestion, vous devez disposer du droit de licence disponible et un profil d'activation adapté doit être
attribué aux utilisateurs.
Pour plus d'informations sur les licencesBES12,consultez le contenu relatif aux licences.
Pour plus d'informations sur la sécurité des différentes options de gestion,reportez-vous au contenu relatif à la sécurité.
Contrôles MDM
Les contrôles MDM sont les contrôles de gestion disponibles par défaut avec le système d'exploitation du terminal. Il n'existe
aucun conteneur chiffré séparé créé sur le terminal et les applications et données de travail ne sont pas séparées des
applications et données personnelles.
Vous pouvez gérer les terminaux suivants à l'aide des contrôles MDM :
•
iOS
•
Android
•
Windows
Pour plus d'informations sur l'activation de terminaux à l'aide des contrôles MDM, reportez-vous à la section Étapes à suivre
pour activer des terminaux.
17
Mise en route
Travail et personnel
Les terminaux Travail et personnel présentent une séparation entre le contenu de travail et le contenu personnel. En fonction du
type de terminal et du type d'activation, vous pouvez avoir plus ou moins de contrôle sur l'espace Travail et l'espace Personnel.
Vous pouvez autoriser l'utilisateur à contrôler l'espace Personnel, tandis que vous conservez le contrôle sur l'espace Travail.
Vous pouvez gérer un Espace Travail et Personnel sur les terminaux suivants :
•
Terminaux BlackBerry 10 avec BlackBerry Balance
•
Terminaux Android avec Android for Work
•
Terminaux Samsung avec Samsung KNOX Workspace
•
Terminaux Android et iOS avec Secure Work Space
Pour plus d'informations sur l'activation de terminaux à l'aide des espaces Travail et Personnel, reportez-vous à la section
Étapes à suivre pour activer des terminaux.
Les terminaux Espace Travail uniquement ne disposent pas d'un espace séparé pour les données personnelles. Les données de
travail sont protégées à l'aide d'un cryptage et d'une authentification par mot de passe ou autres moyens.
Vous pouvez gérer les terminaux dotés d'un Espace Travail uniquement suivants :
•
BlackBerry 10
•
Terminaux Samsung avec Samsung KNOX Workspace
•
Android for Work
Pour plus d'informations sur l'activation de terminaux à l'aide d'un espace Travail uniquement, reportez-vous à la section
Étapes à suivre pour activer des terminaux.
Configuration de Secure Work Space pour les
terminaux iOS et Android
Secure Work Space permet de renforcer la sécurité des données professionnelles sur les terminaux iOS et Android. Secure
Work Space ressemble à la fonctionnalité BlackBerry Balance des terminaux BlackBerry 10.
À l'aide de la conteneurisation et de l'habillage d'application, Secure Work Space sépare les informations personnelles des
informations professionnelles en créant un Personal Space et Work Space sur les terminaux. Vous pouvez choisir de disposer
d'un contrôle administratif sur le terminal dans son ensemble ou uniquement sur l'espace Travail du terminal d'un utilisateur.
Pour configurer Secure Work Space et permettre aux utilisateurs d'activer des terminaux avec Work Space, procédez comme
suit :
18
Mise en route
•
Acheter des licences Secure Work Space Gold
•
Créer un profil d'activation avec l'un des types d'activation Secure Work Space et l'attribuer aux utilisateurs ou aux
groupes. Pour plus d'informations, reportez-vous à Création de profils d'activation.
•
Envoyer des informations d'activation aux utilisateurs
Lorsqu'ils activent leurs terminaux, les utilisateurs sont invités à configurer un Work Space, à créer un mot de passe de Work
Space et à installer les applications par défaut du Work Space. Après avoir installé les applications de l'espace Travail par
défaut, les utilisateurs peuvent installer les applications sécurisées. Les applications sécurisées sont spécifiquement préparées
pour s'exécuter dans l'espace Travail des terminaux iOS et Android avec Secure Work Space. Si les utilisateurs installent les
applications sécurisées avant d'avoir terminé de configurer Secure Work Space, les applications ne s'ouvrent pas et l'utilisateur
doit les désinstaller.
Connectivité d'entreprise et serveurs proxy
Vous pouvez utiliser un profil de connectivité d'entreprise pour contrôler la manière les applications de Work Space des
terminaux iOS et Android se connectent aux ressources de votre organisation. La connectivité d'entreprise dirige tout le trafic
qui passe par BlackBerry Infrastructure vers BES12. Si vous utilisez un proxy pour permettre aux applications du Work Space
afin d'accéder aux services Web sur Internet ou un réseau professionnel, vous devez associer le profil proxy au profil de
connectivité d'entreprise.
La connectivité d'entreprise est activée par défaut. Si vous choisissez de désactiver la connectivité d'entreprise, les applications
du Work Space des terminaux iOS ou Android se connectent aux ressources de votre organisation à l'aide du réseau Wi-Fi
interne ou d'une connexion VPN configurée sur le terminal.
Gestion des terminaux dotés d'un Work Space
La présence d'un Work Space sur les terminaux permet de séparer et de sécuriser les informations professionnelles ainsi que
leur gestion. Les données de l'espace Travail sont sauvegardées de manière sécurisées et ne sont pas accessibles en dehors de
l'espace Travail.
Pour plus d'informations sur la sécurité de l'espace Travail, reportez-vous au contenu relatif à la sécurité.
Lorsque les utilisateurs activent leurs terminaux, un espace Travail est installé sur ces terminaux et les utilisateurs sont invités à
créer des mots de passe d'espace Travail. Pour terminer la configuration du Work Space, les utilisateurs doivent télécharger les
applications suivantes sur leurs terminaux :
Type de terminal
iOS
Applications
•
Work Connect : pour la messagerie, le calendrier, les contacts, les notes et les
tâches
•
Navigateur professionnel : pour la navigation
•
Documents To Go : pour afficher et modifier de manière sécurisée des
documents professionnels
19
Mise en route
Type de terminal
Applications
Android
•
Work Space Manager : requis pour exécuter d'autres applications du Work
Space sur le terminal
•
Secure Work Space : pour la messagerie, le calendrier, les contacts et la
navigation
•
Documents To Go : pour afficher et modifier de manière sécurisée des
documents professionnels
L'espace Travail vous permet de tirer parti des fonctionnalités suivantes :
•
Contrôler les comportements spécifiques de l'espace Travail sur les terminaux, comme les exigences de mot de passe
et les préférences de connexion, en attribuant une stratégie informatique aux comptes d'utilisateur.
•
Utiliser des commandes d'administration informatique pour réinitialiser le mot de passe du Work Space ou supprimer
l'espace Travail des terminaux.
Mise à niveau des applications du Work Space
Pour prendre en charge de nouvelles fonctionnalités et plus de systèmes d'exploitation, BlackBerry publie de nouvelles versions
du Work Space dans l'App Store et Google Play.
Les utilisateurs sont invités à mettre à niveau les applications du Work Space lorsque de nouvelles versions sont disponibles. Si
les utilisateurs mettent à niveau le système d'exploitation de leurs terminaux sans procéder à la mise à niveau vers la dernière
version des applications du Work Space, ce dernier peut ne pas fonctionner comme prévu.
Pour plus d'informations sur les systèmes d'exploitation de terminaux pris en charge, reportez-vous à la matrice de
compatibilité.
Tester la connexion à Secure Work Space
À tout moment, vous pouvez tester la connexion entre BES12 et l'infrastructure Secure Work Space pour vérifier que Secure
Work Space est activé.
1.
Sur la barre de menus, cliquez sur Paramètres > Intégration externe.
2.
Cliquez sur Secure Work Space.
3.
Vérifiez que Secure Work Space est activé et que la connexion à l'infrastructure Secure Work Space a abouti.
4.
Vous pouvez également cliquer sur Tester la connexion pour tester la connexion au Work Space.
20
Mise en route
Se connecter à BES12
La console de gestion vous permet d'effectuer des tâches administratives pour les terminaux de votre organisation gérés par
BES12.
Avant de commencer:
•
Localisez l'adresse Web (par exemple, https://<hostname>/admin/index.jsp) et les informations de connexion à la
console de gestion. Ces informations sont disponibles dans la boite de réception du compte de messagerie associé à
votre compte BES12.
1.
Dans le navigateur, saisissez l'adresse Web de la console de gestion BES12 de votre organisation.
2.
Dans le champ Nom d'utilisateur, saisissez votre nom d'utilisateur.
3.
Dans le champ Mot de passe, saisissez votre mot de passe.
4.
Cliquez sur Se connecter.
À la fin: vous pouvez modifier votre mot de passe de connexion en cliquant sur l'icône utilisateur située en haut à droite de la
console de gestion.
À propos de BES12 Self-Service
BES12 Self-Service est une application Web que vous pouvez mettre à la disposition des utilisateurs pour leur permettre
d'effectuer certaines tâches telles que la création de mots de passe d'activation, le verrouillage de leurs terminaux ou la
suppression des données de leurs terminaux. Les utilisateurs n'ont aucun logiciel à installer pour utiliser BES12 Self-Service.
Vous devez fournir les informations de connexion BES12 Self-Service aux utilisateurs. Vous pouvez envoyer ces informations par
e-mail ou modifier le modèle d'e-mail d'activation pour les y inclure. Les utilisateurs ont besoin des informations suivantes :
•
Adresse Web : l'adresse Web de BES12 Self-Service s'affiche dans la console de gestion sous Paramètres > Libreservice.
•
Nom d'utilisateur et mot de passe : les utilisateurs des annuaires d'entreprise peuvent se connecter à l'aide de leurs
noms d'utilisateur et mots de passe. Pour les utilisateurs locaux, vous devez créer des noms d'utilisateur et des mots
de passe temporaires.
•
Nom de domaine : le nom de domaine est requis pour les utilisateurs Microsoft Active Directory.
Pour plus d'informations sur l'utilisation de BES12 Self-Service, consultez le Guide de l'utilisateur BES12 Self-Service.
Informations connexes
Autoriser les utilisateurs à définir des mots de passe d'activation BES12 Self-Service, à la page 253
21
Fonctionnalités prises en charge par type de terminal
Fonctionnalités prises en charge par
type de terminal
2
Cette référence rapide compare les fonctions prises en charge par les terminaux BlackBerry 10, iOS, OS X, Android et Windows
dans BES12 Cloud.
Pour plus d'informations sur les versions de système d'exploitation prises en charge,reportez-vous à la matrice de compatibilité.
Fonctionnalités des terminaux
Fonctionnalité
Activation sans fil
BlackBerry 10
iOS
OS X
Android
Windows
√
√
√
√
√
√
√2
√1
Application client
requise pour
l'activation
√3
Personnalisation du
contrat des conditions
d'utilisation pour
l'activation
√
√
√
Limitation des
activations par modèle
de terminal
√
√
√
√
√4
Affichage et
exportation du rapport
de terminal (par
exemple, détails du
matériel)
√
√
√
√
√
1 Pour les terminaux iOS inscrits dans DEP, l'application client doit être attribuée à des utilisateurs ou des groupes.
2 Pour terminaux Windows Phone 8.x uniquement.
3 Pour terminaux Windows 10 uniquement.
4 Pour terminaux Windows Phone 8.x et Windows 10 Mobile uniquement.
22
Fonctionnalités de sécurité
Fonctionnalité
BlackBerry 10
iOS
OS X
Android
Windows
Séparation des
données
professionnelles et
personnelles
√
√1
√2
Confidentialité de
l'utilisateur pour les
données personnelles
√
√1
√2
Cryptage des données
professionnelles
inactives
√
√1
√2
Protection du terminal
par envoi de
commandes
informatiques
√
√
√
√
√
Contrôle des
fonctionnalités du
terminal à l'aide de
stratégies
informatiques
√
√
√
√
√
Suppression des
données
professionnelles après
une période
d'inactivité
√
√1
Appliquer les
exigences de mot de
passe
√
√
Cryptage de la carte
multimédia
√
√3
Application du
cryptage de stockage
interne
√
√
√1
√
23
√
√
√
1 Nécessite Secure Work Space.
2 Nécessite Secure Work Space, Samsung KNOX Workspace ou Android for Work.
3 Pour terminaux Samsung KNOX uniquement.
Envoi de certificats aux terminaux
Fonctionnalité
BlackBerry 10
iOS
OS X
Android
Windows
Profils de certificat
d'autorité de
certification
√
√
√
√
√
Profils SCEP
√
√
√
√
√1
√
√
√
√
√
√
Profils des certificats
partagés
Profils d'informations
d'identification de
l'utilisateur
√
Gestion des connexions professionnelles pour les terminaux
iOS
OS X
CalDAVProfils
√
√
CardDAVProfils
√
√
Fonctionnalité
BlackBerry 10
Android
Windows
Profils de récupération
de certificat
√
√1
√1
BlackBerry Secure
Connect Plus
√
√2
√3
Exchange
ActiveSyncProfils de
messagerie
√
√
√
√4
√
√
√
√
√
Profils de messagerie
IMAP/POP3
24
Fonctionnalité
BlackBerry 10
iOS
OS X
Android
Windows
Profils proxy
√
√
√
√
√5
Profils d'identification
unique
√
√
Profils VPN
√
√
√
√6
√7
Wi-FiProfils
√
√
√
√
√
Autres profils
•
spécifiques au
•
système d'exploitation
Profils CRL
Profils OCSP
1 Uniquement pour les terminaux avec Secure Work Space.
2 Uniquement pour les terminaux exécutant iOS version 9.0 et ultérieure.
3 Uniquement pour les terminaux Android for Work et KNOX Workspace.
4 Uniquement pour les terminaux avec l'application TouchDown installée, les terminaux Motorola prenant en charge les API
EDM, les terminaux Android for Work, et les terminaux KNOX.
5 Uniquement pour les terminaux Windows 10 (configurez les paramètres de proxy dans les profils VPN) et les terminaux
Windows 10 Mobile (configurez les paramètres de proxy dans les profils Wi-Fi).
6 Pour terminaux KNOX Workspace uniquement.
Gestion des normes de votre entreprise en matière de terminaux
Fonctionnalité
Profils d'activation
BlackBerry 10
iOS
OS X
Android
Windows
√
√
√
√
√
Profils du mode de
verrouillage des
applications
√1
√1
Profils de conformité
√
√
√
√2
Profils des terminaux
√
√
√
√3
√
√
√4
Profils de service de
localisation
25
Fonctionnalité
BlackBerry 10
Profils d'icône Web
Autres profils
•
spécifiques au
système d'exploitation
Profils
d'exigences
SR des
terminaux
iOS
OS X
√
√
•
AirPlayProfils
•
AirPrintProfil
s
•
Profils de la
charge utile
personnalisé
e
•
Profils des
domaines
gérés
•
Profils
d'utilisation
du réseau
•
Profils de
filtre de
contenu Web
Android
Windows
1 Uniquement pour les terminaux iOS supervisés et les terminaux KNOX activés avec Contrôles MDM.
2 Pour terminaux Windows Phone 8.x uniquement.
4 Pour terminaux Windows 10 Mobile uniquement.
Protection des terminaux perdus ou volés
Fonctionnalité
BlackBerry 10
Spécifier un mot de
passe de terminal
√
Verrouiller le terminal
√
Déverrouiller le
terminal et effacer le
mot de passe
Supprimer toutes les
données du terminal
iOS
OS X
√
√
√
√
Android
Windows
√
√1
√
√1
√
√
√
26
√2
√
Fonctionnalité
BlackBerry 10
iOS
OS X
Android
Windows
√
√
√
√
√
Supprimer
uniquement les
données
professionnelles
1 Pour terminaux Windows Phone 8.x et Windows 10 Mobile uniquement.
2 Pour les terminaux Motorola qui prennent en charge l'API EDM, les informations présentes sur la carte multimédia sont
également supprimées. Pour les terminaux KNOX Workspace, vous pouvez choisir de supprimer les informations de la carte
multimédia.
Configuration de l'itinérance
Fonctionnalité
BlackBerry 10
iOS
Désactiver la
synchronisation
automatique en
itinérance
√1
√
Désactiver les données
en itinérance
OS X
Android
Windows
√2
√
√2
√
Android
Windows
1 Pour la synchronisation avec le serveur de messagerie uniquement.
2 Pour terminaux KNOX uniquement.
Gestion des applications
BlackBerry 10
iOS
Distribuer les
applications publiques
à partir de la boutique
(BlackBerry World,
App Store, Google
Play, Windows Store)
√
√
√
√
Gérer le catalogue
d'applications
professionnelles
√
√
√
√
Fonctionnalité
OS X
27
Fonctionnalité
Catalogue
d'applications
professionnelles de la
marque
BlackBerry 10
iOS
√
√
Gestion des
applications limitées
Distribuer les
applications internes
√
OS X
Android
Windows
√
√1
√1
√
√2
√
1 La liste des applications limitées n'est pas requise pour les terminaux Android for Work, KNOX Workspace ou Windows 10 car
seules les applications que l'administrateur attribue peuvent être installées dans l'espace Travail ou sur des terminaux.
2 Non disponible pour les terminaux Android for Work
28
Administrateurs
Administrateurs
3
Les administrateurs sont des utilisateurs auxquels un groupe d'utilisateurs ou un compte d'utilisateur a attribué un rôle
administratif. Les actions que les administrateurs peuvent effectuer sont définies dans le rôle qui leur est attribué. Vous pouvez
attribuer un rôle préconfiguré ou un rôle personnalisé que vous créez. Chaque rôle dispose d'un ensemble d'autorisations qui
définit les informations que les administrateurs peuvent afficher et les actions qu'ils peuvent effectuer dans la console de
gestion de BES12.
Les rôles permettent à votre organisation de :
•
Réduire les risques de sécurité associés en autorisant tous les administrateurs à accéder aux différentes options
administratives
•
Définir différents types d'administrateurs pour mieux répartir les responsabilités
•
Renforcer l'efficacité des administrateurs en limitant les options accessibles à leurs responsabilités
Étapes à suivre pour configurer des
administrateurs
Pour configurer des administrateurs, procédez comme suit :
Étape
Action
Si nécessaire, créez un signet.
Si nécessaire, modifiez la langue pour les e-mails automatisés.
Révisez les rôles préconfigurés et, si nécessaire, créez un rôle personnalisé.
Classer les rôles.
Créer un administrateur.
29
Administrateurs
Personnalisation de l'apparence des consoles
Vous pouvez personnaliser l'apparence des consoles en sélectionnant un jeu de couleurs personnalisé. Les couleurs que vous
sélectionnez dans BES12 sont utilisées aussi bien dans la console de gestion que dans la console BES12 Self-Service. Vous ne
pouvez pas sélectionner le jeu de couleurs dans la console BES12 Self-Service.
1.
Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux.
2.
Cliquez sur Personnaliser la console.
3.
Sélectionnez deux couleurs pour la console. Effectuez l'une des opérations suivantes :
•
Cliquez sur la case à gauche du code couleur, puis sélectionnez une couleur dans la palette de couleurs.
•
Saisissez un code couleur dans les champs de sélection.
•
Sélectionnez une couleur à partir des échantillons de couleur situés à droite du code couleur.
Vous pouvez afficher un aperçu du jeu de couleurs dans l'exemple affiché.
4.
Cliquez sur Enregistrer.
À la fin: Déconnectez-vous, puis reconnectez-vous pour afficher le jeu de couleurs mis à jour.
Création de signets de site Web dans les
consoles
Vous pouvez créer des signets de site Web dans la console de gestion BES12 et la console BES12 Self-Service. Vous pouvez
créer différents signets pour chaque console. Par exemple, vous pouvez créer un signet dans BES12 Self-Service pour créer un
lien vers les fichiers d'aide personnalisés aux terminaux des utilisateurs.
Avant de commencer: Vous devez être un administrateur de sécurité pour pouvoir créer ou modifier des signets dans les
consoles.
1.
Connectez-vous à BES12 ou BES12 Self-Service.
2.
Cliquez sur
3.
Sous Ajouter une adresse web, ajoutez les informations de signet :
4.
dans l'angle supérieur droit.
a.
Donnez un nom au signet.
b.
Saisissez l'URL du site Web. L'URL doit commencer par « http:// » ou « https:// ».
À la fin: Cliquez sur
pour afficher vos signets. Tous les utilisateurs peuvent accéder aux signets, mais seuls les
administrateurs de sécurité sont autorisés à créer ou modifier des signets.
30
Administrateurs
Modifier la langue pour les e-mails automatisés
Dans la console de gestion, vous pouvez modifier la langue des e-mails automatisés. BES12 utilise la langue que vous spécifiez
dans les e-mails que vous ne pouvez pas modifier (par exemple, les notifications à propos de l'accès administrateur et des mots
de passe de la console).
1.
Sur la barre de menus, cliquez sur Paramètres.
2.
Dans le volet de gauche, développez Paramètres généraux.
3.
Cliquez sur Langue.
4.
Dans la liste déroulante, cliquez sur la langue que vous souhaitez utiliser dans les e-mails automatisés de BES12.
5.
Création et gestion des rôles
Vous pouvez passer en revue les rôles préconfigurés disponibles dans BES12 pour déterminer si vous devez créer des rôles
personnalisés ou modifier les paramètres de rôle pour répondre aux besoins de votre entreprise. Vous devez être un
administrateur de sécurité pour créer des rôles personnalisés, afficher des informations à propos d'un rôle, modifier les
paramètres de rôle, supprimer des rôles et classer des rôles.
Rôles préconfigurés
Dans BES12, le rôle Administrateur de sécurité dispose des autorisations maximales sur la console de gestion, y compris sur la
création et la gestion de rôles et d'administrateurs. Au moins un administrateur doit être Administrateur de sécurité.
BES12 inclut des rôles préconfigurés, en plus du rôle Administrateur de sécurité. Vous pouvez modifier ou supprimer tous les
rôles, à l'exception du rôle Administrateur de sécurité.
Les rôles préconfigurés suivants sont disponibles :
Rôle
Description
Administrateur de sécurité
Autorisations maximales
Administrateur d'entreprise
Toutes les autorisations, sauf la création et la modification des rôles et
administrateurs
Centre d'assistance senior
Autorisations permettant d'effectuer des tâches administratives intermédiaires
Centre d'assistance junior
Autorisations permettant d'effectuer des tâches administratives de base
31
Administrateurs
Autorisations pour les rôles préconfigurés
Les tableaux suivants répertorient les autorisations activées par défaut pour chaque rôle préconfiguré dans BES12. Dans
BES12, le rôle Administrateur de sécurité dispose des autorisations maximales sur la console de gestion, y compris sur la
création et la gestion de rôles et d'administrateurs.
Rôles et administrateurs
Par défaut, le rôle Administrateur de sécurité dans BES12 comprend des autorisations pour créer et gérer des rôles et des
administrateurs. Ces autorisations ne sont pas disponibles dans la console de gestion et ne peuvent pas être activées pour un
autre rôle.
Autorisation
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
Afficher les rôles
√
NA
NA
NA
Créer et modifier des rôles
√
NA
NA
NA
Supprimer des rôles
√
NA
NA
NA
Classer les rôles
√
NA
NA
NA
Créer des administrateurs
√
NA
NA
NA
Supprimer des
administrateurs
√
NA
NA
NA
Modifier des attributs non
administratifs
d'administrateurs
√
NA
NA
NA
Modifier le mot de passe
d'autres administrateurs
√
NA
NA
NA
Modifier l'appartenance de
rôle pour les
administrateurs
√
NA
NA
NA
32
Administrateurs
Utilisateurs et terminaux
Autorisation
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
Afficher les utilisateurs et
les terminaux activés
√
√
√
√
Créer des utilisateurs
√
√
√
Modifier des utilisateurs
√
√
√
√
Attribuer des rôles
d'utilisateur
√
√
√
√
Supprimer des utilisateurs
√
√
√
Exporter la liste des
utilisateurs
√
√
Générer un mot de passe
d'activation et l'envoyer par
e-mail
√
√
√
√
Spécifier un mot de passe
d'activation.
√
√
√
√
de console
√
√
√
√
Gérer les terminaux
√
√
√
√
Activer l'espace Travail
√
√
√
√
Désactiver l'espace Travail
√
√
√
√
Verrouiller l'espace Travail
√
√
√
√
Réinitialiser le mot de passe
de l'espace Travail
√
√
√
√
de terminal
√
√
√
√
Verrouiller le terminal et
définir un message
√
√
√
√
33
Administrateurs
Autorisation
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
Déverrouiller le terminal et
effacer le mot de passe
√
√
√
√
Supprimer uniquement les
données professionnelles
√
√
√
√
√
√
√
√
professionnel et verrouiller
√
√
√
√
Obtenir les journaux du
terminal
√
√
√
Activer le verrouillage
d'activation
√
√
√
√
Désactiver le verrouillage
d'activation
√
√
√
√
Afficher les détails de
localisation du terminal
√
√
√
Afficher l'historique de
localisation du terminal
√
√
Afficher les informations de
contrôle d'accès Exchange
√
√
Afficher les informations sur
le terminal du programme
d'inscription des appareils
Apple
√
√
Attribuer des configurations
d'inscription
√
√
Envoyer un e-mail aux
utilisateurs
√
√
34
√
√
√
Administrateurs
Autorisation
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
Envoyer un message
électronique d'activation
aux utilisateurs
√
√
√
Consulter l'historique de
contournement du
verrouillage d'activation
√
√
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
Afficher les paramètres de
groupe
√
√
√
√
Créer et modifier les
groupes d'utilisateurs
√
√
√
Attribuer des rôles
d'utilisateur
√
√
√
Ajouter et supprimer des
utilisateurs de groupes
d'utilisateurs
√
√
√
Supprimer des groupes
d'utilisateurs
√
√
Créer et modifier les
groupes de terminaux
√
√
Supprimer des groupes de
terminaux
√
√
Groupes
Autorisation
35
√
Administrateurs
Stratégies et profils
Autorisation
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
Afficher les stratégies
informatiques et les profils
√
√
√
√
Créer et modifier des
stratégies informatiques et
des profils
√
√
Supprimer les stratégies
√
√
Attribuer des stratégies
informatiques et des profils
aux utilisateurs
√
√
√
informatiques et des profils
aux groupes d'utilisateurs
√
√
√
informatiques et profils aux
groupes de terminaux
√
√
√
Classer les stratégies
√
√
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
Afficher les applications et
groupes d'applications
√
√
√
√
applications et groupes
d'application
√
√
Supprimer des applications
et groupes d'applications
√
√
Applications
Autorisation
36
Administrateurs
Autorisation
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
Attribuer des applications
aux utilisateurs
√
√
√
aux groupes d'utilisateurs
√
√
√
aux groupes de terminaux
√
√
√
Afficher les licences des
applications
√
√
√
Créer les licences des
applications
√
√
Modifier les licences des
applications
√
√
Supprimer les licences des
applications
√
√
Attribuer une licence
d'application à des
applications ou groupes
d'applications
√
√
√
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
Afficher les applications
limitées
√
√
√
√
Créer des applications
limitées
√
√
√
Applications limitées
Autorisation
37
Administrateurs
Autorisation
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
√
√
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
Afficher les paramètres
généraux
√
√
√
Modifier les paramètres
d'activation par défaut
√
√
modèles d’e-mails
√
√
Supprimer des modèles
d’e-mails
√
√
Modifier les paramètres du
mot de passe de la console
√
√
Modifier la langue des emails automatiques
√
√
Modifier les paramètres de
la console en libre-service
√
√
Modifier les variables
personnalisées
√
√
Modifier des notes
d'entreprise
√
√
Modifier les paramètres du
service de localisation
√
√
thème de couleurs
√
√
Supprimer des applications
limitées
Paramètres
Autorisation
38
Administrateurs
Autorisation
Administrateur de
sécurité
Administrateur
d'entreprise
d'expiration de la
commande de suppression
√
√
d'attestation
√
√
Afficher la gestion des
applications
√
√
Modifier BlackBerry World
for Work
√
√
Modifier les applications
Windows Phone 8
√
√
Modifier Work Apps pour
iOS
√
√
Modifier les applications
Windows 10
√
√
d'intégration externe
√
√
notification Push Apple
√
√
Apple DEP
√
√
BlackBerry Connectivity
Node
√
√
l'annuaire d'entreprise
√
√
contrôle d'accès Microsoft
Exchange
√
√
39
Centre d'assistance
senior
Centre d'assistance
junior
√
√
√
Administrateurs
Autorisation
Administrateur de
sécurité
Administrateur
d'entreprise
Android for Work
√
√
d'autorité de certification
√
√
d'inscription par lot
Samsung KNOX
√
√
Afficher les certificats
approuvés
√
√
Ajouter des certificats
approuvés
√
√
Supprimer les certificats
approuvés
√
√
BlackBerry Secure Gateway
Service
√
√
BlackBerry Secure Gateway
Service
√
√
Afficher les utilisateurs
administrateurs et les rôles
√
√
√
Afficher le résumé des
licences
√
√
√
Afficher les paramètres de
migration
√
√
migration
√
√
40
Centre d'assistance
senior
Centre d'assistance
junior
Administrateurs
Planche de bord
Autorisation
Afficher le tableau de bord
Administrateur de
sécurité
Administrateur
d'entreprise
Centre d'assistance
senior
Centre d'assistance
junior
√
√
√
√
Créer un rôle personnalisé
Si les rôles préconfigurés disponibles dans BES12 ne répondent pas aux besoins de votre entreprise, vous pouvez créer des
rôles personnalisés pour les administrateurs. Vous pouvez également personnaliser les rôles pour limiter les tâches
administratives à une liste définie de groupes d'utilisateurs. Par exemple, vous pouvez créer un rôle pour les nouveaux
administrateurs qui limite leurs autorisations à un groupe d'utilisateurs à des fins de formation uniquement.
Avant de commencer: Vous devez être Administrateur de sécurité pour créer un rôle personnalisé.
1.
2.
Dans le volet de gauche, développez Administrateurs.
3.
Cliquez sur Rôles.
4.
Cliquez sur
5.
Saisissez le nom et la description du rôle.
6.
Pour copier les autorisations d'un autre rôle, cliquez sur un rôle de la liste déroulante Autorisations copiées à partir du
rôle.
7.
Effectuez l'une des tâches suivantes :
Tâche
.
Étapes
Autoriser les administrateurs de ce rôle 1.
à rechercher tous les annuaires
d'entreprise
Sélectionnez l'option Tous les répertoires d'entreprise.
à rechercher les annuaires
2.
d'entreprise sélectionnés
3.
Sélectionnez l'option Répertoires d'entreprise sélectionnés uniquement.
4.
8.
Cliquez sur Sélectionner des répertoires.
Sélectionnez un ou plusieurs annuaires et cliquez sur .
41
Administrateurs
Tâche
Étapes
à gérer tous les utilisateurs et groupes
Sélectionnez l'option Tous les groupes et utilisateurs.
à gérer les groupes sélectionnés
2.
Sélectionnez l'option Groupes sélectionnés uniquement.
3.
Sélectionnez un ou plusieurs groupes, puis cliquez sur .
4.
9.
Cliquez sur Sélectionner des groupes.
Configurez les autorisations des administrateurs de ce rôle.
10. Cliquez sur Enregistrer.
À la fin: classez les rôles.
Classer les rôles, à la page 44
Afficher un rôle
Vous pouvez afficher les informations de rôle suivantes :
•
Répertoires d'entreprises dans lesquels les administrateurs du rôle peuvent rechercher.
•
Groupes d'utilisateurs que les administrateurs du rôle peuvent gérer.
•
Autorisations pour les administrateurs du rôle.
Avant de commencer: Vous devez être Administrateur de sécurité pour afficher un rôle.
1.
2.
3.
Cliquez sur Rôles.
4.
Cliquez sur le nom du rôle que vous souhaitez afficher.
Modifier les paramètres de rôle
Vous pouvez modifier les paramètres de tous les rôles, à l'exception du rôle Administrateur de sécurité.
Avant de commencer: vous devez être Administrateur de sécurité pour modifier les paramètres de rôle.
1.
2.
42
Administrateurs
3.
Cliquez sur Rôles.
4.
Cliquez sur le nom du rôle que vous souhaitez modifier.
5.
Cliquez sur
6.
Pour modifier l'accès aux répertoires, effectuez l'une des tâches suivantes :
.
Tâche
Étapes
à rechercher tous les annuaires
d'entreprise
Sélectionnez l'option Tous les répertoires d'entreprise.
à rechercher les annuaires
2.
d'entreprise sélectionnés
3.
Sélectionnez l'option Répertoires d'entreprise sélectionnés uniquement.
4.
7.
Cliquez sur Sélectionner des répertoires.
Sélectionnez un ou plusieurs annuaires et cliquez sur .
Pour modifier la gestion du groupe, effectuez l'une des tâches suivantes :
Tâche
Étapes
à gérer tous les utilisateurs et groupes
Sélectionnez l'option Tous les groupes et utilisateurs.
à gérer les groupes sélectionnés
2.
Sélectionnez l'option Groupes sélectionnés uniquement.
3.
Sélectionnez un ou plusieurs groupes, puis cliquez sur .
4.
Cliquez sur Sélectionner des groupes.
8.
Modifiez les autorisations des administrateurs de ce rôle.
9.
À la fin: si nécessaire, modifiez le classement du rôle.
Classer les rôles, à la page 44
Supprimer un rôle
Vous pouvez supprimer tous les rôles, à l'exception du rôle Administrateur de sécurité.
43
Administrateurs
Avant de commencer:
•
Vous devez être Administrateur de sécurité pour supprimer un rôle.
•
Supprimez le rôle de tous les comptes d'utilisateur et groupes d'utilisateurs auxquels il est affecté.
1.
2.
3.
Cliquez sur Rôles.
4.
Cliquez sur le nom du rôle que vous souhaitez supprimer.
5.
Cliquez sur
.
Comment BES12 choisit le rôle à attribuer, à la page 44
Comment BES12 choisit le rôle à attribuer
Un seul rôle est attribué à un administrateur. BES12 utilise les règles suivantes pour déterminer le rôle à attribuer à un
administrateur :
•
Un rôle directement attribué à un compte d'utilisateur est prioritaire sur un rôle attribué indirectement par un groupe
d'utilisateurs.
•
Si un administrateur est membre de plusieurs groupes d'utilisateurs possédant des rôles différents, BES12 attribue le
rôle avec le rang le plus élevé.
Classer les rôles
Le classement permet de déterminer quel rôle BES12 attribue à un administrateur lorsqu'il est membre de plusieurs groupes
d'utilisateurs qui possèdent des rôles différents.
Avant de commencer: vous devez être Administrateur de sécurité pour classer les rôles.
1.
2.
3.
Cliquez sur Rôles.
4.
Utilisez les flèches pour déplacer les rôles vers le haut ou le bas du classement.
5.
44
Administrateurs
Créer un administrateur
Vous pouvez créer un administrateur en ajoutant un rôle à un compte d'utilisateur ou à un groupe d'utilisateurs. Le groupe
d'utilisateurs peut être un groupe lié par annuaire ou un groupe local. Vous pouvez ajouter un rôle à un utilisateur et un rôle à
chaque groupe auquel il appartient, et BES12 affecte uniquement l'un des rôles de l'utilisateur.
Avant de commencer:
•
Vous devez être Administrateur de sécurité pour créer un administrateur.
•
Créez un compte d'utilisateur auquel est associée une adresse électronique.
•
Si nécessaire, créez un groupe d'utilisateurs.
•
Si nécessaire, créez un rôle personnalisé.
1.
2.
3.
Tâche
Étapes
Ajouter un rôle à un compte
d'utilisateur
1.
Cliquez sur Utilisateurs.
2.
Cliquez sur
3.
Si nécessaire, recherchez un compte d'utilisateur.
4.
Cliquez sur le nom du compte d'utilisateur.
5.
Dans la liste déroulante Rôle, cliquez sur le rôle que vous souhaitez
ajouter.
6.
1.
Cliquez sur Groupes.
2.
Cliquez sur
3.
Si nécessaire, recherchez un groupe d'utilisateurs.
4.
Cliquez sur le nom du groupe d'utilisateurs.
5.
ajouter.
6.
Ajouter le rôle à un groupe
d'utilisateurs
.
.
BES12 envoie aux administrateurs un e-mail avec le nom d'utilisateur et un lien vers la console de gestion. BES12 envoie
également aux administrateurs un e-mail distinct contenant leur mot de passe pour accéder à la console de gestion. Si un
45
Administrateurs
utilisateur ne dispose pas de mot de passe pour la console, BES12 génère un mot de passe temporaire et l'envoie à
l'administrateur.
À la fin: si nécessaire, ajoutez des comptes d'utilisateur à un groupe d'utilisateurs auquel un rôle a été attribué. Seuls les
Administrateurs de sécurité peuvent ajouter ou supprimer un groupe d'utilisateurs auquel un rôle a été attribué.
Créer un rôle personnalisé, à la page 41
Création et gestion de groupes d'utilisateurs, à la page 196
Création et gestion de comptes d'utilisateur, à la page 211
Modifier l'appartenance de rôle pour les
administrateurs
Vous pouvez modifier le rôle attribué directement à d'autres administrateurs. Vous ne pouvez pas modifier votre propre rôle.
Avant de commencer: Vous devez être Administrateur de sécurité pour modifier l'appartenance au rôle pour les
administrateurs.
1.
2.
3.
Tâche
Étapes
Modifier le rôle affecté à un compte
d'utilisateur
1.
2.
Si nécessaire, recherchez un compte d'utilisateur.
3.
Cliquez sur le nom du compte d'utilisateur.
4.
attribuer.
5.
1.
2.
Si nécessaire, recherchez un groupe d'utilisateurs.
3.
Cliquez sur le nom du groupe d'utilisateurs.
4.
attribuer.
5.
Modifier le rôle affecté à un groupe
d'utilisateurs
46
Administrateurs
Supprimer un administrateur
Vous pouvez supprimer un administrateur en supprimant un rôle attribué directement à un compte d'utilisateur ou à un groupe
d'utilisateurs. Lorsque vous supprimez un rôle d'un groupe d'utilisateurs, le rôle est supprimé pour chaque utilisateur
appartenant au groupe. Si aucun autre rôle n'est attribué, l'utilisateur n'est plus administrateur. Les comptes d'utilisateur et
groupes d'utilisateurs demeurent dans la console de gestion et les terminaux ne sont pas affectés.
Remarque: Au moins un administrateur doit être Administrateur de sécurité.
Avant de commencer: Vous devez être Administrateur de sécurité pour pouvoir supprimer un administrateur.
1.
2.
3.
Tâche
Étapes
Supprimer un rôle d'un compte
d'utilisateur
1.
2.
Sélectionnez le compte d'utilisateur duquel vous souhaitez supprimer le
rôle.
3.
Cliquez sur
4.
Cliquez sur Supprimer.
1.
2.
Sélectionnez le groupe d'utilisateurs duquel vous souhaitez supprimer le
rôle.
3.
Cliquez sur
4.
Supprimer un rôle d'un groupe
d'utilisateurs
.
.
47
Profils
Profils
4
Un profil contient des informations de configuration pour les terminaux et chaque type de profil prend en charge une
configuration particulière, comme des certificats, paramètres de connexion professionnelle ou paramètres appliquant certaines
normes pour les terminaux. Vous pouvez spécifier les paramètres des terminaux BlackBerry 10, iOS, OS X, Android et Windows
dans un même profil, puis distribuer les informations de configuration aux terminaux en attribuant le profil à des comptes
d'utilisateur, groupes d'utilisateurs ou groupes de terminaux.
Les profils permettent à votre organisation de configurer efficacement les terminaux. S'il vous faut spécifier de nombreux
paramètres ou configurer de nombreux terminaux, les profils vous permettent de stocker tous les paramètres d'une
configuration spécifique à un même emplacement et de rapidement transférer les paramètres aux terminaux concernés.
Attribution de profils
Vous pouvez attribuer des profils à des comptes d'utilisateur, groupes d'utilisateurs et groupes de terminaux. Certains types de
profil peuvent utiliser le classement pour déterminer le profil envoyé à un terminal.
•
Type de profil classé : vous pouvez attribuer un profil à un utilisateur et un profil à chaque groupe auquel il appartient,
et BES12 envoie un seul des profils attribués au terminal de l'utilisateur.
•
Type de profil non classé : vous pouvez attribuer plusieurs profils à un utilisateur et profils multiples à chaque groupe
auquel il appartient, et BES12 envoie tous les profils attribués au terminal de l'utilisateur.
Remarque: vous ne pouvez pas attribuer de profil d'activation à un groupe de terminaux.
Attribution à un utilisateur ou à un
groupe
Types de profils
Un profil de chaque type peut être
attribué
Les types de profils classés suivants sont disponibles dans BES12 :
•
Activation
•
Mode de verrouillage des applications
•
Récupération de certificat
•
Conformité
•
CRL
•
Terminal
•
Configuration logicielle minimale requise du terminal
•
Adresse électronique,
48
Profils
Attribution à un utilisateur ou à un
groupe
Types de profils
•
Connectivité d'entreprise
•
Service de localisation
•
Utilisation du réseau
•
OCSP
•
Proxy
•
Identification unique
Plusieurs profils de chaque type peuvent Les types de profils non classés suivants sont disponibles dans BES12 :
être attribués
•
AirPlay
•
AirPrint
•
Certificat d'autorité de certification
•
CalDAV
•
CardDAV
•
Charge utile personnalisée
•
Messagerie IMAP/POP3
•
Domaines gérés
•
SCEP
•
Certificat partagé
•
Informations d'identification de l'utilisateur
•
VPN
•
Filtre de contenu Web
•
Icône Web
•
Wi-Fi
Comment BES12 choisit les profils à attribuer, à la page 50
Attribuer un profil à un groupe d'utilisateurs, à la page 202
Attribuer un profil à un compte d'utilisateur, à la page 222
Créer un profil de la configuration logicielle minimale requise du terminal, à la page 120
Classer les profils, à la page 53
49
Profils
Comment BES12 choisit les profils à attribuer
Pour les types de profils classés, BES12envoie un seul profil de chaque type à un terminal et utilise des règles prédéfinies pour
déterminer le profil à attribuer à un utilisateur et les terminaux que l'utilisateur active.
Attribué à
Règles
Compte d'utilisateur
1.
Un profil directement attribué à un compte d'utilisateur est prioritaire sur un
profil de même type attribué indirectement par groupe d'utilisateurs.
2.
Si un utilisateur est membre de plusieurs groupes d'utilisateurs dotés de
différents profils de même type, BES12 attribue le profil avec le rang le plus
élevé.
3.
Le cas échéant, le profil par défaut préconfiguré est attribué si aucun profil
n'est attribué à un compte d'utilisateur directement ou par appartenance aux
groupes d'utilisateurs.
(afficher l'onglet Synthèse)
Remarque: BES12 inclut un profil d'activation par défaut, un profil de conformité
par défaut et un profil de connectivité d'entreprise par défaut dotés de paramètres
préconfigurés pour chaque type de terminal.
Terminal
(afficher l'onglet Terminal)
Par défaut, un terminal hérite du profil attribué par BES12 à l'utilisateur qui active
le terminal. Si un terminal appartient à un groupe de terminaux, les règles suivantes
s'appliquent :
1.
Un profil attribué à un groupe de terminaux est prioritaire sur le profil de
même type attribué par BES12 à un compte d'utilisateur.
2.
Si un terminal est membre de plusieurs groupes de terminaux dotés de
différents profils de même type, BES12 attribue le profil avec le rang le plus
élevé.
BES12 peut devoir résoudre des profils en conflit lorsque vous effectuez l'une des opérations suivantes :
•
Attribuer un profil à un compte d'utilisateur, groupe d'utilisateurs ou groupe de terminaux
•
Supprimer un profil d'un compte d'utilisateur, groupe d'utilisateurs ou groupe de terminaux
•
Modifier classement d'un profil
•
Supprimer un profil
•
Modifier l'appartenance à un groupe d'utilisateurs (comptes d'utilisateur et groupes imbriqués)
•
Modifier les attributs des terminaux
•
Modifier l'appartenance à un groupe de terminaux
•
Supprimer un groupe d'utilisateurs ou un groupe de terminaux
50
Profils
Attribution de profils, à la page 48
Créer un profil de la configuration logicielle minimale requise du terminal, à la page 120
Classer les profils, à la page 53
Gestion des profils
Dans la bibliothèque des stratégies et des profils, vous pouvez gérer les profils utilisés par votre organisation. Vous pouvez
copier les profils, afficher des informations les concernant, modifier les paramètres d'un profil, supprimer un profil de comptes
d'utilisateur ou groupes d'utilisateurs, supprimer et classer des profils.
Copier un profil
Vous pouvez copier des profils existants afin de créer rapidement des profils similaires pour différents groupes au sein de votre
entreprise.
1.
Sur la barre de menus, cliquez sur Stratégies et profils.
2.
Développez un type de profil.
3.
Cliquez sur le nom du profil que vous souhaitez copier.
4.
Cliquez sur
5.
Saisissez le nom et la description du nouveau profil.
6.
Apportez les modifications dans l'onglet correspondant à chaque type de terminal.
7.
.
À la fin: Si nécessaire, classez les profils.
Afficher un profil
Vous pouvez afficher les informations de profil suivantes :
•
Paramètres communs à tous les types de terminaux et spécifiques à chaque type de terminal
•
Liste et nombre de comptes d'utilisateur auxquels est attribué le profil (directement et indirectement)
•
Liste et nombre de groupes d'utilisateurs auxquels est attribué le profil (directement)
1.
2.
51
Profils
3.
Cliquez sur le nom du profil que vous souhaitez afficher.
Modifier les paramètres de profil
Si vous mettez à jour un profil d'activation, les nouveaux paramètres du profil s'appliquent uniquement aux terminaux
supplémentaires activés par un utilisateur. Les terminaux activés n'utilisent pas les nouveaux paramètres du profil tant que
l'utilisateur ne les a pas réactivés.
1.
2.
3.
Cliquez sur le nom du profil que vous souhaitez modifier.
4.
Cliquez sur
5.
Modifiez les paramètres communs.
6.
7.
.
Supprimer un profil de comptes d'utilisateur ou de groupes
d'utilisateurs
Si un profil est directement attribué à des comptes d'utilisateur ou à des groupes d'utilisateurs, vous pouvez le supprimer des
utilisateurs ou des groupes. Si un profil est indirectement attribué par un groupe d'utilisateurs, vous pouvez supprimer le profil
du groupe ou supprimer les comptes d'utilisateur du groupe. Lorsque vous supprimez un profil des groupes d'utilisateurs, le
profil est supprimé de chaque utilisateur appartenant aux groupes sélectionnés.
Remarque: le profil d'activation par défaut, le profil de conformité par défaut et le profil de connectivité d'entreprise par défaut
peuvent uniquement être supprimés d'un compte d'utilisateur si vous les avez directement attribués à l'utilisateur.
1.
2.
3.
Cliquez sur le nom du profil que vous souhaitez supprimer des comptes d'utilisateur ou des groupes d'utilisateurs.
4.
Tâche
Étapes
Supprimer un profil de comptes
d'utilisateur
1.
Cliquez sur l'onglet Attribué aux utilisateurs.
2.
Si nécessaire, recherchez les comptes d'utilisateur.
52
Profils
Tâche
Étapes
Supprimer un profil de groupes
d'utilisateurs
3.
Sélectionnez les comptes d'utilisateur desquels vous souhaitez supprimer
le profil.
4.
Cliquez sur
1.
Cliquez sur l'onglet Attribué aux groupes.
2.
Si nécessaire, recherchez les groupes d'utilisateurs.
3.
Sélectionnez les groupes d'utilisateurs desquels vous souhaitez supprimer
le profil.
4.
Cliquez sur
.
.
Supprimer un profil
Lorsque vous supprimez un profil, BES12 supprime le profil des utilisateurs et des terminaux auquel il est attribué. Pour
supprimer un profil associé à d'autres profils, vous devez d'abord supprimer toutes les associations existantes. Par exemple,
avant de pouvoir supprimer un profil proxy associé à un profil VPN et un profil Wi-Fi, vous devez modifier la valeur du profil proxy
associé dans le profil VPN et le profil Wi-Fi.
Remarque: vous ne pouvez pas supprimer le profil d'activation par défaut, le profil de conformité par défaut ou le profil de la
connectivité d'entreprise par défaut.
1.
2.
3.
Cliquez sur le nom du profil que vous souhaitez supprimer.
4.
Cliquez sur
5.
.
Classer les profils
Le classement est utilisé pour déterminer le profil envoyé par BES12 à un terminal dans les scénarios suivants :
•
Un utilisateur est membre de plusieurs groupes d'utilisateurs dotés de profils de même type.
53
Profils
•
Un terminal est membre de plusieurs groupes de terminaux dotés de profils de même type.
1.
2.
3.
Cliquez sur Classer les profils <profile_type> .
4.
Utilisez les flèches pour déplacer les profils vers le haut ou le bas du classement.
5.
54
Variables
Variables
5
BES12 prend en charge les variables par défaut et les variables personnalisées. Les variables par défaut correspondent aux
attributs de compte standard (nom d'utilisateur, par exemple) et d'autres attributs prédéfinis (adresse du serveur utilisée pour
l'activation du terminal). Vous pouvez utiliser les variables personnalisées pour définir des attributs supplémentaires.
Vous pouvez utiliser les variables dans les profils et personnaliser les notifications de conformité et les e-mails d'activation. Vous
pouvez utiliser les variables pour faire référence à des valeurs plutôt que de spécifier des valeurs réelles. Lorsque le profil, la
notification de conformité ou l'e-mail d'activation sont envoyés aux terminaux, les variables sont remplacées par les valeurs
qu'elles représentent.
Remarque: les stratégies informatiques ne prennent pas en charge les variables.
Utilisation de variables dans les profils
Les variables des profils vous aident à gérer efficacement les profils des utilisateurs de votre organisation. Les variables offrent
plus de flexibilité aux profils et permettent de limiter le nombre de profils dont vous avez besoin pour chaque type de profil. Par
exemple, vous pouvez créer un seul profil VPN pour plusieurs utilisateurs spécifiant la variable %UserName% au lieu de créer
un profil VPN distinct pour chaque utilisateur spécifiant la valeur de nom d'utilisateur réelle.
Vous pouvez utiliser une variable dans tous les champs de texte d'un profil, à l'exception des champs Nom et Description. Par
exemple, vous pouvez spécifier « %UserName%@exemple.com » dans le champ Adresse électronique d'un profil de
messagerie.
Dans les profils de conformité, vous pouvez utiliser des variables pour personnaliser les notifications de conformité envoyées
par BES12 aux utilisateurs.
Variables par défaut
Les variables par défaut suivantes sont disponibles dans BES12 :
Nom de la variable
Description
Utilisation principale
%ActivationPassword%
Mot de passe d'activation généré
automatiquement ou défini pour un utilisateur
E-mails d'activation
%ActivationPasswordExpiry%
Date et heure d'expiration d'un mot de passe
d'activation
55
Variables
Nom de la variable
Description
%ActivationURL%
Adresse Web du serveur qui reçoit les demandes
d'activation
%ActivationUserName%
Nom d'utilisateur pour les demandes d'activation E-mails d'activation
Équivalent à %UserEmailAddress% (si disponible
pour l'utilisateur) ou à SRP ID\%UserName%
%AdminPortalURL%
Adresse Web de la console de gestion de BES12
%ClientlessActivationURL%
Adresse Web du serveur qui reçoit les requêtes
d'activation de terminaux exécutant Windows 10
et versions ultérieures
%ComplianceApplicationList%
Liste des applications qui violent les règles de
Notifications de conformité
conformité (applications non attribuées
installées, applications requises non installées ou
applications limitées installées)
%ComplianceEnforcementAction%
Action d'application effectuée par BES12 en cas
de non-conformité d'un terminal
%ComplianceEnforcementActionWit Action d'application effectuée par BES12 en cas
hDescription%
de non-conformité d'un terminal, avec
description de l'action d'application
%ComplianceRuleViolated%
Règle de conformité violée par un terminal
%DeviceIMEI%
Numéro IMEI d'un terminal
Profils
%DeviceModel%
Numéro de modèle d'un terminal
%RsaRootCaCertUrl%
Adresse Web du certificat racine de l'autorité de
certification RSA
serialNumber
Numéro de série d'un terminal
Paramètre objet dans les profils
SCEP
%SSLCertName%
Nom commun du certificat de communication
sécurisé
%SSLCertSHA%
Empreinte du certificat de communication
sécurisé
56
E-mails d'accès administrateur (non
personnalisables)
Variables
Nom de la variable
Description
%UserDisplayName%
Nom d'affichage d'un utilisateur
E-mails d'activation, profils
%UserDisplayName_RDNValue%
Nom d'affichage d'un utilisateur avec les
caractères spéciaux échappés conformément à
la spécification DN LDAP
SCEP
%UserDistinguishedName%
Nom distinctif de l'utilisateur d'annuaire avec les Paramètre objet dans les profils
caractères spéciaux échappés conformément à SCEP
Pour un utilisateur local, correspond
à %UserName_RDNValue%
%domaine de l'utilisateur%
Domaine Microsoft Active Directory auquel
appartient un utilisateur d'annuaire
Profils
%UserDomain_RDNValue%
Domaine Microsoft Active Directory auquel
appartient un utilisateur d'annuaire avec les
SCEP
%adresse électronique utilisateur%
Adresse électronique d'un utilisateur
%UserEmailAddress_RDNValue%
Adresse électronique d'un utilisateur avec les
SCEP
%nom d'utilisateur%
Nom d'utilisateur d'un utilisateur
%UserName_RDNValue%
Nom d'utilisateur d'un utilisateur avec les
SCEP
%UserPrincipalName%
Nom principal de l'utilisateur d'annuaire
Profils
à %UserEmailAddress%
%UserPrincipalName_RDNValue%
Nom d'utilisateur de l'utilisateur d'annuaire avec Paramètre objet dans les profils
les caractères spéciaux échappés conformément SCEP
à la spécification DN LDAP
à %UserEmailAddress_RDNValue%
57
Variables
Nom de la variable
Description
%UserSelfServicePortalURL%
Adresse Web de BES12 Self-Service
Variables personnalisées
Vous utilisez des libellés pour définir les attributs et les mots de passe représentés par les variables personnalisées. Par
exemple, vous pouvez spécifier « Mot de passe VPN » comme libellé d'une variable %custom_pswd1%. Lorsque vous créez ou
mettez à jour un compte d'utilisateur, les libellés sont utilisés comme noms de champ et vous spécifiez les valeurs appropriées
pour les variables personnalisées utilisées par votre organisation. Tous les comptes d'utilisateur prennent en charge les
variables personnalisées, y compris les comptes d'administrateur.
Les variables personnalisées prennent en charge les valeurs de texte et les valeurs de texte masquées. Pour des raisons de
sécurité, vous devez utiliser des variables personnalisées prenant en charge les valeurs de texte masquées pour les mots de
passe.
Les variables personnalisées suivantes sont disponibles dans BES12 :
Nom de la variable
Description
%custom1%, %custom2%, %custom3%, Vous pouvez utiliser jusqu'à cinq variables différentes pour les attributs que vous
%custom4%, %custom5%
définissez (valeurs de texte).
%custom_pswd1%, %custom_pswd2%, Vous pouvez utiliser jusqu'à cinq variables différentes pour les mots de passe que
%custom_pswd3%, %custom_pswd4%, vous définissez (valeurs de texte masquées).
%custom_pswd5%
Définir des variables personnalisées
Vous devez définir des variables personnalisées pour pouvoir les utiliser. Seules les variables personnalisées dotées d'un libellé
s'affichent lorsque vous créez ou mettez à jour un compte d'utilisateur.
1.
2.
3.
Cliquez sur Variables personnalisées.
4.
Cochez la case Afficher les variables personnalisées lors de l'ajout ou de la modification d'un utilisateur.
5.
Spécifiez un libellé pour chaque variable personnalisée que vous prévoyez d'utiliser. Les libellés sont utilisés comme noms
de champ dans la section Variables personnalisées lorsque vous créez ou mettez à jour un compte d'utilisateur.
6.
58
Variables
Utilisation de variables personnalisées
Après avoir défini des variables personnalisées, vous devez spécifier les valeurs qui conviennent lorsque vous créez ou mettez à
jour un compte d'utilisateur. Vous pouvez ensuite utiliser les variables personnalisées de la même manière que les variables par
défaut. Vous spécifiez le nom de la variable lorsque vous créez des profils ou personnalisez les notifications de conformité et les
e-mails d'activation.
Exemple : utilisation d'un même profil VPN pour plusieurs utilisateurs disposant de leurs propres mots de
passe VPN
Dans l'exemple suivant, « Mot de passe VPN » correspond au libellé que vous spécifiez pour la
variable %custom_pswd1% et celle-ci est utilisée en tant que nom de champ dans la section Variables
personnalisées lorsque vous mettez à jour un compte d'utilisateur.
1.
Sur la barre de menus, cliquez sur Utilisateurs et terminaux > Terminaux gérés.
2.
Recherchez un compte d'utilisateur.
3.
Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur.
4.
Cliquez sur
5.
Développez Variables personnalisées.
6.
Dans le champ Mot de passe VPN, saisissez le mot de passe VPN de l'utilisateur.
7.
8.
Répétez les étapes 2 à 7 pour chaque utilisateur qui utilisera le profil VPN.
9.
Lorsque vous créez le profil VPN, dans le champ Mot de passe, saisissez %custom_pswd1%.
.
59
Certificats
Certificats
6
Un certificat est un document numérique émis par une autorité de certification qui vérifie l'identité de l'objet de certificat et la
lie à une clé publique. Chaque certificat dispose d'une clé privée correspondante stockée séparément. La clé publique et clé
privée forment une paire de clés asymétriques qui peuvent être utilisées à des fins de cryptage des données et
d'authentification de l'identité. Une autorité de certification signe le certificat pour vérifier que les entités qui approuvent
l'autorité de certification peuvent également approuver le certificat.
Selon les fonctionnalités et le type d'activation du terminal, les terminaux peuvent utiliser des certificats pour :
•
S'authentifier à l'aide du protocole SSL/TLS lorsqu'ils se connectent aux pages Web utilisant le protocole HTTPS
•
S'authentifier auprès d'un serveur de messagerie professionnel
•
S'authentifier auprès d'un réseau Wi-Fi ou VPN professionnel
•
Crypter et signer les e-mails à l'aide de la protection S/MIME
De nombreux certificats utilisés à différentes fins peuvent être stockés sur un terminal. Vous pouvez utiliser les profils de
certificat pour envoyer des certificats d'autorité de certification et des certificats client aux terminaux.
Étapes de l'utilisation des certificats avec des
terminaux
Pour utiliser des certificats avec des terminaux, vous devez procéder comme suit :
Étape
Action
Si nécessaire, connectez BES12 au logiciel PKI Entrust ou OpenTrust de votre entreprise.
Créez un ou plusieurs profils de certificat d'autorité de certification pour envoyer des certificats
d'autorité de certification aux terminaux.
Créez des profils SCEP, identifiants de l'utilisateur ou certificat partagé pour envoyer des certificats de
client aux terminaux.
Si nécessaire, associez les profils de certificat aux profils Wi-Fi , VPN ou e-mail.
60
Certificats
Étape
Action
Si nécessaire, attribuez les profils de certificats aux comptes d'utilisateur, groupes d'utilisateurs ou
groupes de terminaux.
Intégration de BES12 avec le logiciel PKI de
votre organisation
Si votre organisation utilise le logiciel Entrust ou OpenTrust pour fournir des services PKI, vous pouvez étendre l'authentification
basée sur des certificats aux terminaux que vous gérez à l'aide de BES12.
Les produits Entrust (comme Entrust IdentityGuard et Entrust Authority Administration Services) et OpenTrust (comme
PKI OpenTrust et OpenTrust CMS) délivrent des certificats client. Vous pouvez configurer une connexion au logiciel PKI de votre
organisation et utiliser des profils pour envoyer le certificat d'autorité de certification et les certificats client aux terminaux.
Connectez BES12 au logiciel Entrust de votre organisation.
Pour étendre l'authentification basée sur des certificats Entrust aux terminaux, vous devez ajouter une connexion au logiciel
Entrust de votre entreprise (par exemple, Entrust IdentityGuard ou Entrust Authority Administration Services).
Avant de commencer: Contactez l'administrateur Entrust de votre organisation pour obtenir :
•
l'URL du service Web MDM de Entrust ;
•
les informations de connexion d'un compte d'administrateur Entrust que vous pouvez utiliser pour connecter BES12
au logiciel Entrust ;
•
le certificat d'autorité de certification Entrust contenant la clé publique (.der, .pem ou .cert). BES12 utilise ce
certificat pour établir des connexions SSL avec le serveur Entrust
1.
2.
Cliquez sur Intégration externe > Autorité de certification.
3.
Cliquez sur Ajouter une connexion Entrust.
4.
Dans le champ Nom de connexion, saisissez le nom du groupe.
5.
Dans le champ URL, saisissez l'URL du service Web Entrust.
6.
Dans le champ Nom d'utilisateur, saisissez le nom d'utilisateur du compte d'administrateur Entrust.
7.
Dans le champ Mot de passe, saisissez le mot de passe du compte d'administrateur Entrust.
8.
Si vous souhaitez charger un certificat d'autorité de certification pour autoriser BES12 à établir des connexions SSL avec
le serveur Entrust, cliquez sur Parcourir. Accédez au certificat d'autorité de certification et sélectionnez-le.
61
Certificats
9.
Pour tester la connexion, cliquez sur Tester la connexion.
À la fin:
•
Pour modifier une connexion, cliquez sur son nom.
•
Pour supprimer une connexion, cliquez sur .
Connectez BES12 au logiciel OpenTrust de votre organisation
Pour étendre l'authentification basée sur des certificats OpenTrust aux terminaux, vous devez ajouter une connexion au logiciel
OpenTrust de votre entreprise. BES12 prend en charge l'intégration avec OpenTrust PKI 4.8.0 et version ultérieure et OpenTrust
CMS version 2.0.4 et ultérieure.
Avant de commencer: Contactez l'administrateur OpenTrust de votre organisation pour obtenir l'URL du serveur OpenTrust, le
certificat côté client contenant la clé privée (au format .pfx ou .p12) et le mot de passe du certificat.
1.
2.
Cliquez sur Intégration externe > Autorité de certification.
3.
Cliquez sur Ajouter une connexion OpenTrust.
4.
Dans le champ Nom de connexion, saisissez le nom du groupe.
5.
Dans le champ URL, saisissez l'URL du logiciel OpenTrust.
6.
Cliquez sur Parcourir. Naviguez jusqu'au et sélectionnez le certificat côté client utilisé par BES12 pour authentifier la
connexion au serveur OpenTrust.
7.
Dans le champ Mot de passe du certificat, saisissez le mot de passe du certificat du serveur OpenTrust.
8.
Pour tester la connexion, cliquez sur Tester la connexion.
9.
À la fin:
•
Si vous utilisez la connexion BES12 avec le logiciel OpenTrust pour distribuer des certificats aux terminaux, les
certificats peuvent prendre un certain temps pour devenir valables. Ce retard pourrait entrainer des problèmes avec
l'authentification par e-mail au cours du processus d'activation du terminal. Pour résoudre ce problème, dans le
logiciel OpenTrust, configurez l'autorité de certification OpenTrustet définissez « Antidater les certificats (secondes) »
sur 180.
•
Pour modifier une connexion, cliquez sur son nom.
•
Pour supprimer une connexion, cliquez sur .
62
Certificats
Envoi de certificats aux terminaux à l'aide de
profils
Vous pouvez envoyer des certificats aux terminaux à l'aide des profils suivants, disponibles dans la bibliothèque des stratégies
et des profils.
Profil
Description
Certificat d'autorité de certification Un profil de certificat d'autorité de certification spécifie un certificat d'autorité de
certification que les terminaux peuvent utiliser pour approuver l'identité associée à
n'importe quel certificat client ou serveur qui a été signé par cette autorité de
certification.
SCEP
Un profil SCEP indique comment les terminaux sont connectés à et obtiennent des
certificats client de l'autorité de certification de votre organisation à l'aide d'un service
SCEP.
Informations d'identification de
l'utilisateur
Un profil d'informations d'identification de l'utilisateur spécifie le moyen d'envoi des
certificats client aux terminaux si votre organisation utilise le logiciel Entrust ou OpenTrust
pour proposer des services PKI.
Certificat partagé
Un profil de certificat partagé spécifie un certificat client que BES12 envoie aux
terminaux iOS et Android. BES12 envoie le même certificat client à chaque utilisateur
auquel le profil est attribué.
Pour les terminaux iOS et Android, vous pouvez également envoyer un certificat client en l'ajoutant à un compte d'utilisateur
sur l'onglet Résumé. Pour plus d'informations, reportez-vous à Ajouter un certificat client à un compte d'utilisateur.
Pour les terminaux BlackBerry 10, iOS et Android, si votre organisation utilise des certificats pour S/MIME, vous pouvez
également utiliser des profils pour permettre à des terminaux d'obtenir des clés publiques de destinataire et vérifier l'état du
certificat. Pour plus d'informations, reportez-vous à Extension de la sécurité de la messagerie à l'aide de S/MIME.
Extension de la sécurité de la messagerie à l'aide de S/MIME, à la page 76
Ajouter un certificat client à un compte d'utilisateur, à la page 222
Choix des profils pour envoyer des certificats client aux
terminaux
Vous pouvez utiliser différents types de profils pour fournir des certificats client aux terminaux. Le type de profil que vous
choisissez dépend de la façon dont votre organisation utilise les certificats et des types de terminaux pris en charge. Prenez en
compte les recommandations suivantes :
63
Certificats
•
Pour utiliser les profils SCEP, vous devez disposer d'une autorité de certification qui prend en charge le protocole
SCEP. Si votre organisation utilise une autorité de certification Entrust ou OpenTrust, les profils SCEP ne sont pas pris
en charge pour les terminaux Windows 10.
•
Pour utiliser les profils d'informations d'identification de l'utilisateur, vous devez disposer d'une autorité de
certification Entrust ou OpenTrust Les profils d'informations d'identification de l'utilisateur ne sont pas pris en charge
pour les terminaux Windows 10.
•
Pour utiliser des certificats client pour une authentification Wi-Fi, VPN et par serveur de messagerie, vous devez
associer le profil de certificat avec un profil Wi-Fi, VPN ou de messagerie.
•
Pour les terminaux iOS et Android, les profils de certificats partagés et les certificats qui sont ajoutés aux comptes
utilisateur ne garantissent par le caractère privé de la clé, car vous devez avoir accès à cette clé privée. Les profils
SCEP et d'informations d'identification de l'utilisateur sont plus sûrs, car ils envoient la clé privée uniquement au
terminal pour lequel le certificat a été émis.
•
Les certificats client OpenTrust ne sont pas pris en charge pour l'authentification du serveur de messagerie des
terminaux avec Secure Work Space.
•
Si vous souhaitez utiliser un Profil SCEP pour distribuer des certificats clientOpenTrustaux terminaux, vous devez
appliquer un correctif à votre logicielOpenTrust. Pour plus d'informations, contactez votre représentant de support
techniqueOpenTrustet indiquez la référence de support SUPPORT-798.
Créer un profil de messagerie, à la page 74
Créer un profil Wi-Fi, à la page 88
Créer un profil VPN, à la page 90
Envoi de certificats CA à des terminaux
Vous devrez peut-être distribuer des certificats d'autorité de certification aux terminaux si votre organisation utilise le protocole
S/MIME ou si des terminaux utilisent une authentification basée sur les certificats pour se connecter à un réseau ou à un
serveur dans l'environnement de votre organisation.
Lorsque vous envoyez un certificat d'autorité de certification à un terminal, celui-ci approuve l'identité associée à un certificat
client ou serveur signé par l'autorité de certification. Lorsque le certificat de l'autorité de certification qui a signé les certificats
réseau et serveur de votre organisation est stocké sur les terminaux, ces derniers peuvent approuver vos réseaux et serveurs
lorsqu'ils établissent des connexions sécurisées. Lorsque le certificat d'autorité de certification qui a signé les certificats S/
MIME de votre organisation est stocké sur des terminaux, ces terminaux peuvent approuver le certificat de l'expéditeur lors de
la réception d'un e-mail sécurisé.
De nombreux certificats d'autorité de certification utilisés à des fins différentes peuvent être stockés sur un terminal. Vous
pouvez utiliser des profils de certificat CA pour envoyer des certificats CA à des terminaux.
Créer un profil de certificat d'autorité de certification partagé
Avant de commencer: vous devez obtenir le fichier de certificat d'autorité de certification que vous souhaitez envoyer aux
terminaux.
64
Certificats
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil. Chaque profil de certificat d'autorité de certification doit avoir un nom unique.
Certains noms (par exemple, ca_1) sont réservés.
4.
Dans le champ Fichier de certificat, cliquez sur Parcourir pour localiser le fichier de certificat.
5.
Si le certificat d'autorité de certification est envoyé aux terminaux BlackBerry, spécifiez un ou plusieurs des magasins de
certificats suivants auxquels envoyer le certificat sur le terminal :
en regard de Certificat d'autorité de certification.
•
Magasin de certificats du navigateur
•
Magasin de certificats VPN
•
Magasin de certificats Wi-Fi
•
Magasin de certificats d'entreprise
6.
Dans l'onglet OS X, dans la liste déroulante Appliquer le profil à, sélectionnez Utilisateur ou Terminal.
7.
Cliquez sur Ajouter.
Magasins de certificats d'autorité de certification sur les terminaux BlackBerry 10
Les certificats d'autorité de certification envoyés aux terminaux BlackBerry 10 sont stockés dans différents magasins de
certificats, selon l'objectif du certificat.
Magasin
Description
Magasin de certificats du
navigateur
Le navigateur professionnel des terminaux BlackBerry 10 utilise les certificats de ce magasin pour
établir des connexions SSL aux serveurs dans l'environnement de votre organisation.
Magasin de certificats
VPN
Les terminaux BlackBerry 10 utilisent les certificats de ce magasin pour les connexions VPN. Vous
devez définir le paramètre Source du certificat approuvé du profil VPN sur Magasin de certificats
approuvé pour utiliser les certificats de ce magasin pour les connexions VPN professionnelles.
Magasin de certificats WiFi
Les terminaux BlackBerry 10 utilisent les certificats de ce magasin pour les connexions Wi-Fi.
Vous devez définir le paramètre Source du certificat approuvé du profil Wi-Fi sur Magasin de
certificats approuvé pour utiliser les certificats de ce magasin pour les connexions Wi-Fi
professionnelles.
Magasin de certificats
d'entreprise
Les terminaux BlackBerry 10 utilisent les certificats de ce magasin pour authentifier les e-mails
protégés S/MIME reçus.
65
Certificats
Utilisation d'un profil SCEP pour envoyer des certificats client
sur des terminaux
Vous pouvez utiliser des profils SCEP pour spécifier la manière dont les terminaux BlackBerry 10, les terminaux iOS, les
terminaux Windows 10 et les terminaux et Android avec Secure Work Space, Android for Work, KNOX Workspace ou activations
MDM KNOX obtiennent des certificats client à partir de l'autorité de certification de votre entreprise via un service SCEP. SCEP
est un protocole IETF qui simplifie le processus d'inscription des certificats client sur un grand nombre de terminaux sans
nécessiter d'intervention ou d'approbation de l'administrateur pour délivrer chaque certificat. Les terminaux peuvent utiliser le
protocole SCEP pour demander et obtenir des certificats client auprès d'une autorité de certification compatible SCEP utilisée
par votre organisation. L'autorité de certification que vous utilisez doit prendre en charge les mots de passe de vérification.
L'autorité de certification utilise les mots de passe de vérification pour vérifier que le terminal est autorisé à envoyer une
demande de certificat.
Selon leurs capacités du terminal et le type d'activation, les terminaux peuvent utiliser des certificats client obtenus à l'aide de
SCEP pour l'authentification basée sur des certificats à partir du navigateur ou se connecter à un réseau Wi-Fi professionnel, à
un VPN professionnel ou à un serveur de messagerie professionnel.
Sur les terminaux iOS et Android avec Secure Work Space, le profil SCEP doit être associé à un profil de messagerie ou à un
profil Wi-Fi pour être transmis aux terminaux. Sur les terminaux Android for Work, les certificats créés à l'aide d'un profil SCEP
ne peuvent pas être utilisés pour l'authentification basée sur des certificats avec votre réseau Wi-Fi professionnel ou votre
serveur de messagerie professionnel.
Si votre organisation utilise une autorité de certification Entrust ou OpenTrust, les profils SCEP ne sont pas pris en charge pour
les terminaux Windows 10.
Créer un profil SCEP
Les paramètres de profil requis varient selon le type de terminal et dépendent de la configuration du service SCEP dans
l'environnement de votre entreprise.
Remarque: si vous souhaitez utiliser un Profil SCEP pour distribuer les certificats clientOpenTrustaux terminaux, vous devez
appliquer un correctif à votre logicielOpenTrust. Pour plus d'informations, contactez votre représentant de support
techniqueOpenTrustet indiquez la référence de support SUPPORT-798.
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil. Chaque profil de certificat doit avoir un nom unique.
4.
Dans le champ URL, saisissez l'URL du service SCEP. L'URL doit inclure le protocole, le FQDN, le numéro de port et le
chemin SCEP.
5.
Dans le champ Nom de l'instance, saisissez le nom de l'instance pour l'autorité de certification.
6.
Dans la liste déroulante Connexion à l'autorité de certification, effectuez l'une des opérations suivantes :
en regard de SCEP.
66
Certificats
•
Pour utiliser une connexion Entrust que vous avez configurée, cliquez sur la connexion qui convient. Dans la liste
déroulante Profil, cliquez sur un profil. Spécifiez les valeurs du profil.
•
Pour utiliser une connexionOpenTrustque vous avez configurée, cliquez sur la connexion qui convient. Dans la
liste déroulanteProfil, cliquez sur un profil. Spécifiez les valeurs du profil.
•
◦
Les paramètres suivants du profil SCEP ne s'appliquent pas aux certificats client OpenTrust : Utilisation
de la clé, Utilisation étendue de la clé, Objet et SAN.
◦
Les certificats client OpenTrust ne sont pas pris en charge pour l'authentification du serveur de
messagerie des terminaux avec Secure Work Space.
Pour utiliser une autre autorité de certification, cliquez sur Générique. Dans la liste déroulante Type de
challenge SCEP, sélectionnez Statique ou Dynamique, puis spécifiez les paramètres requis pour le type de
vérification.
Remarque: Pour les terminaux Windows, seuls les mots de passe Statiques sont pris en charge.
7.
Vous pouvez également décocher la case correspondant aux types de terminaux pour lesquels vous ne souhaitez pas
configurer le profil.
8.
Procédez comme suit :
9.
a.
Cliquez sur l'onglet correspondant à un type de terminal.
b.
Configurez les valeurs qui conviennent pour chaque paramètre de profil afin qu'elles correspondent à la
configuration du service SCEP dans l'environnement de votre organisation.
Répétez l'étape 8 pour chaque type de terminal de votre organisation.
10. Cliquez sur Ajouter.
À la fin: si les terminaux utilisent le certificat client pour s'authentifier auprès d'un réseau Wi-Fi professionnel, d'un VPN
professionnel ou d'un serveur de messagerie professionnel, associez le profil SCEP à un profil Wi-Fi, un profil VPN ou un profil
de messagerie.
Paramètres du profil SCEP, à la page 318
Utilisation de profils d'informations d'identification de
l'utilisateur pour envoyer des certificats aux terminaux
Les profils d'informations d'identification de l'utilisateur permettent aux terminaux d'obtenir des certificats client de l'autorité
de certification Entrust ou OpenTrust. Les profils d'informations d'identification de l'utilisateur sont pris en charge par les
terminaux iOS, OS X, Android et les terminaux exécutant BlackBerry 10 OS version 10.3.1 et ultérieure.
67
Certificats
Vous pouvez également utiliser les profils SCEP pour envoyer les certificats client Entrust ou OpenTrust à des terminaux (voir
Utilisation d'un profil SCEP pour envoyer des certificats client sur des terminaux). Le type de profil que vous choisissez dépend
de la manière dont votre organisation utilise le logiciel PKI, des types de terminaux pris en charge par et de la manière dont vous
souhaitez gérer les certificats.
Créer un profil d'informations d'identification de l'utilisateur
Avant de commencer:
•
Contactez l'administrateur Entrust ou OpenTrust de votre organisation pour confirmer quel profil PKI vous devez
sélectionner. BES12 obtient une liste des profils du logiciel PKI.
•
Si votre organisation utilise une autorité de certification Entrust, les profils d'informations d'identification de
l'utilisateur ne prennent pas en charge les profils dotés à la fois de la signature et des clés de cryptage pour S/MIME.
L'administrateur Entrust doit configurer deux profils distincts, un pour la signature et l'autre pour le cryptage.
•
Les certificats clients OpenTrust ne sont pas pris en charge pour l'authentification du serveur de messagerie pour les
terminaux Secure Work Space.
•
Demandez à l'administrateurEntrust ou OpenTrust quelles sont les valeurs de profil que vous devez fournir. Par
exemple, les valeurs correspondant au type de terminal (devicetype), au groupe Entrust IdentityGuard (iggroup) et au
nom d'utilisateur Entrust IdentityGuard (igusername).
•
Si le systèmeOpenTrustde votre entreprise est configuré pour renvoyer uniquement des clés sous séquestre,
l'administrateur deOpenTrustdoit vérifier que des certificats sont présents pour chaque utilisateur dans le
systèmeOpenTrust. L'attribution d'un profil d'informations d'identification aux utilisateurs dansBES12ne crée pas
automatiquement des certificats pour les utilisateurs dansOpenTrust. Dans ce scénario, un profil d'informations
d'identification de l'utilisateur peut uniquement distribuer des certificats aux utilisateurs qui ont déjà un certificat
dans le systèmeOpenTrust.
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil. Chaque profil de certificat doit avoir un nom unique.
4.
Dans la liste déroulante Connexion à l'autorité de certification, cliquez sur la connexion Entrust ou OpenTrust que vous
avez configurée.
5.
Dans la liste déroulante Profil, cliquez sur le profil qui convient.
6.
Spécifiez les valeurs du profil.
7.
Si nécessaire, vous pouvez spécifier un autre nom d'objet ainsi que la valeur du certificat Entrust client.
en regard des Informations d'identification de l'utilisateur.
a.
Dans le tableau SAN, cliquez sur
b.
Dans la liste déroulante Type SAN, cliquez sur le type qui convient.
c.
Dans le champ Valeur SAN, tapez la valeur SAN.
.
Si le type SAN est défini sur Nom RFC822, la valeur doit correspondre à une adresse électronique valide. Si cette
option est définie sur URI, la valeur doit correspondre à une URL valide incluant le protocole et le FQDN ou l'adresse
68
Certificats
IP. Si cette option est définie sur Nom principal, la valeur doit correspondre à un nom principal valide. Si cette option
est définie sur Nom DN, la valeur doit correspondre à un FQDN valide.
8.
Si les terminaux BlackBerry 10 utilisent le certificat client pour crypter les e-mails à l'aide de S/MIME et que vous
souhaitez que les terminaux conservent les certificats expirés pour permettre aux utilisateurs d'ouvrir d'anciens e-mails,
cochez la case Inclure l'historique des certificats.
9.
À la fin:
•
Attribuez le profil aux comptes d'utilisateur et groupes d'utilisateurs.Les utilisateurs Android sont invités à saisir un
mot de passe lorsqu'ils reçoivent le profil (ce mot de passe s'affiche à l'écran).
•
Si les terminaux utilisent des certificats client pour s'authentifier auprès d'un réseau Wi-Fi, d'un VPN ou d'un serveur
de messagerie, associez le profil d'informations d'identification de l'utilisateur à un profil Wi-Fi, VPN ou de
messagerie.
Envoi du même certificat client à plusieurs terminaux
Vous pouvez utiliser les profils de certificats partagés pour envoyer des certificats client aux terminaux iOS, OS X, et Android
activés avec Contrôles MDM, aux terminaux Samsung KNOX et aux terminaux Android for Work.
Les profils de certificats partagés envoient la même paire de clés à chaque utilisateur affecté au profil. Utilisez uniquement les
profils de certificat partagé pour autoriser plusieurs utilisateurs à partager un certificat client.
OS X applique les profils aux terminaux ou comptes d'utilisateur. Vous pouvez configurer un profil de certificat partagé à
appliquer à l'un ou à l'autre.
Créer un profil de certificat partagé
Avant de commencer: vous devez obtenir le fichier de certificat client que vous souhaitez envoyer aux terminaux. Le nom du
fichier de certificat doit comprendre l'extension .pfx ou .p12.
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil. Chaque profil de certificat doit avoir un nom unique. Certains noms (par
exemple, ca_1) sont réservés.
4.
Dans le champ Mot de passe, indiquez un mot de passe pour le profil de certificat partagé.
5.
6.
Dans l'onglet OS X, dans la liste déroulante Appliquer le profil à, sélectionnez Utilisateur ou Terminal.
en regard de Certificat Partagé.
69
Certificats
7.
70
E-mail, Wi-Fi, VPN et autres connexions professionnelles
E-mail, Wi-Fi, VPN et autres
connexions professionnelles
7
Vous pouvez utiliser des profils pour configurer et gérer les connexions professionnelles des terminaux de votre organisation.
Les connexions professionnelles définissent la manière dont les terminaux se connectent aux ressources professionnelles dans
l'environnement de votre organisation, comme les serveurs de messagerie, serveurs proxy, réseaux Wi-Fi et VPN. Vous pouvez
spécifier les paramètres des terminaux BlackBerry 10, iOS, Android et Windows dans le même profil, puis attribuez le profil à
des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux.
Étapes à suivre pour configurer les connexions
professionnelles des terminaux
Pour configurer les connexions professionnelles des terminaux, procédez comme suit :
Étape
Action
Créez des profils pour configurer la manière dont les terminaux se connectent aux ressources
professionnelles. Par exemple, créez un profil de messagerie, un profil Wi-Fi ou un profil VPN.
Si nécessaire, classez les profils.
Attribuez les profils aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux.
Gestion des connexions professionnelles à l'aide
des profils
Vous pouvez configurer la manière dont les terminaux se connectent à des ressources professionnelles à l'aide des profils
suivants, disponibles dans la bibliothèque des stratégies et des profils :
71
Profil
Description
CalDAV
Un profilCalDAVindique les paramètres du serveur que les terminauxiOS etOS X
peuvent utiliser pour synchroniser les informations du calendrier.
CardDAV
Un profilCardDAVindique les paramètres du serveur que les terminauxiOS etOS X
peuvent utiliser pour synchroniser les informations de contact.
Récupération de certificat
Un profil de récupération de certificat spécifie la manière dont les terminaux
récupèrent des certificats depuis des serveurs LDAP.
CRL
Un profil CRL spécifie les configurations CRL utilisées par les terminaux BES12
pour vérifier l'état des certificats.
Un profil de messagerie spécifie la manière dont les terminaux se connectent à un
serveur de messagerie professionnel et synchronisent les e-mails, les entrées de
calendrier et les données de l'organiseur à l'aide deExchange ActiveSync ou IBM
Notes Traveler.
Le profil spécifie si les terminaux BlackBerry 10, Samsung KNOX Workspace,
Android for Work et iOS peuvent utiliser BlackBerry Secure Connect Plus pour
établir des connexions sécurisées aux ressources professionnelles derrière le parefeu en cas d'indisponibilité du VPN ou de connexion Wi-Fi.
BES12 inclut un profil de connectivité d'entreprise par défaut.
Messagerie IMAP/POP3
Un profil de messagerie IMAP/POP3 spécifie la manière dont les terminaux se
connectent à un serveur de messagerie IMAP or POP3 et synchronisent les e-mails.
OCSP
Un profil OCSP spécifie les répondeurs OCSP utilisés par les terminaux BlackBerry
10 pour vérifier l'état des certificats.
Proxy
Un profil proxy spécifie la manière dont les terminaux utilisent un serveur proxy
pour accéder à des services Web sur Internet ou un réseau professionnel.
Identification unique
Un profil d'identification unique spécifie la manière dont les terminaux
s'authentifient automatiquement auprès des domaines sécurisés après que les
utilisateurs aient saisi leur nom d'utilisateur et leur mot de passe pour la première
fois.
VPN
Un profil VPN spécifie la manière dont les terminaux se connectent à un VPN
professionnel.
Wi-Fi
Un profil Wi-Fi spécifie la manière dont les terminaux se connectent à un réseau WiFi professionnel.
72
Meilleure pratique : création de profils de
connexions professionnelles
Certains profils de connexions professionnelles peuvent inclure un ou plusieurs profils associés. Lorsque vous spécifiez un profil
associé, vous liez un profil existant à un profil de connexions professionnelles et les terminaux doivent utiliser le profil associé
lorsqu'ils utilisent le profil de connexions professionnelles.
Prenez en compte les recommandations suivantes :
•
Déterminez les connexions professionnelles requises pour les terminaux de votre organisation.
•
Créez des profils que vous pouvez associer à d'autres profils avant de créer les profils de connexions professionnelles
qui les utilisent.
•
Utilisez des variables, le cas échéant.
Vous pouvez associer des profils de certificat et des profils proxy à différents profils de connexions professionnelles. Vous devez
créer ces profils dans l'ordre suivant :
1.
Profils de certificat
2.
Profils proxy
3.
Profils de connexions professionnelles (messagerie, VPN et Wi-Fi , par exemple)
Par exemple, si vous créez un profil Wi-Fi, vous ne pouvez pas associer de profil proxy au profil Wi-Fi lorsque vous le créez.
Après avoir créé un profil proxy, vous devez modifier le profil Wi-Fi pour lui associer le profil proxy.
Envoi de certificats aux terminaux à l'aide de profils, à la page 63
Utilisation de variables dans les profils, à la page 55
Configuration d'une messagerie professionnelle
pour les terminaux
Vous pouvez utiliser les profils de messagerie pour spécifier la manière dont les terminaux se connectent au serveur de
messagerie de votre organisation et synchronisent les e-mails, les entrées de calendrier et les données de l'organiseur à l'aide
de Exchange ActiveSync ou IBM Notes Traveler.
Si vous souhaitez utiliser Exchange ActiveSync, notez ce qui suit :
•
Pour une sécurité renforcée de la messagerie, vous pouvez activer S/MIME pour les terminaux iOS et Android. Vous
pouvez activer S/MIME ou PGP pour les terminaux BlackBerry 10. PGP est pris en charge par BlackBerry 10 OS
version 10.3.1 ou ultérieure.
73
•
Si vous activez S/MIME, vous pouvez utiliser d'autres profils pour permettre aux terminaux de récupérer
automatiquement des certificats S/MIME et en vérifier l'état.
Si vous souhaitez utiliser Notes Traveler, notez ce qui suit :
•
Pour utiliser Notes Traveler avec les terminaux iOS, vous devez activer Secure Work Space.
•
Pour utiliser Notes Traveler avec les terminaux Android, vous devez utiliser Samsung KNOX Workspace ou Secure
Work Space.
•
La synchronisation des données To Do est uniquement prise en charge sur les terminaux BlackBerry 10. Elle utilise le
protocole de communication SyncML sur le serveur Notes Traveler.
•
Pour une sécurité renforcée de la messagerie sur les terminaux BlackBerry 10, seul le cryptage IBM Notes est pris en
charge (S/MIME n'est pas pris en charge).
Vous pouvez également utiliser les profils de messagerie IMAP/POP3 pour spécifier la manière dont les terminaux iOS, OS X,
Android et Windows se connectent aux serveurs de messagerie IMAP ou POP3 et synchronisent les e-mails. Les terminaux
activés pour utiliser KNOX MDM ne prennent pas en charge les protocoles IMAP ou POP3.
Créer un profil de messagerie
Les paramètres de profil requis varient pour chaque type de terminal et dépendent du serveur de messagerie dans
l'environnement de votre entreprise.
Avant de commencer:
•
Si vous utilisez l'authentification basée sur des certificats entre les terminaux et le serveur de messagerie, vous devez
créer un profil de certificat d'autorité de certification et l'attribuer aux utilisateurs. Vous devez également veiller à ce
que les terminaux disposent d'un certificat client approuvé.
•
Pour appliquer automatiquement un profil de messagerie à un terminal Android, celui-ci doit respecter l'un des
critères suivants. Si le terminal ne satisfait aucun de ces critères, BES12 envoie toujours le profil de messagerie aux
terminaux Android, mais l'utilisateur doit configurer manuellement la connexion au serveur de messagerie :
•
1.
◦
Terminaux avec Secure Work Space
◦
Terminaux Android for Work
◦
Terminaux Samsung KNOX et Samsung KNOX Workspace
◦
Terminaux Motorola
◦
Terminaux avec application TouchDown installée. Pour plus d'informations sur l'application TouchDown,
consultez le site nitrodesk.com.
Si vous prévoyez d'utiliserBlackBerry Secure Gateway Servicepour fournir une connexion sécurisée avec le serveur de
messagerie de votre entreprise par le biais deBlackBerry Infrastructureet deBES12pour les terminauxiOSdotés du
type d'activationContrôles MDM, vérifiez que votre entreprise dispose des licencesBES12appropriées. Pour plus
d'informations,reportez-vous au contenu relatif aux licences.
74
2.
Cliquez sur
en regard de Messagerie.
3.
Saisissez le nom et la description du profil.
4.
Si nécessaire, saisissez le nom de domaine du serveur de messagerie. Si le profil concerne plusieurs utilisateurs pouvant
se trouver dans différents domaines Microsoft Active Directory, vous pouvez utiliser la variable %UserDomain%.
5.
Dans le champ Adresse électronique, effectuez l'une des opérations suivantes :
•
Si le profil concerne un utilisateur, saisissez l'adresse électronique de l'utilisateur.
•
Si le profil concerne plusieurs utilisateurs, saisissez %UserEmailAddress%.
6.
Saisissez le nom d'hôte ou l'adresse IP du serveur de messagerie.
7.
Dans le champ Nom d'utilisateur, effectuez l'une des opérations suivantes :
•
Si le profil concerne un seul utilisateur, indiquez le nom d'utilisateur.
•
Si le profil concerne plusieurs utilisateurs, saisissez %UserName%.
•
Si le profil concerne plusieurs utilisateurs dans un environnement IBM Notes Traveler,
saisissez %UserDisplayName%.
8.
Si vous utilisez un contrôle d'accès automatique, cliquez sur Sélectionner les serveurs, sélectionnez les serveurs
Microsoft Exchange qui conviennent dans la liste des serveurs disponibles, puis cliquez sur Enregistrer.
9.
Cliquez sur l'onglet correspondant à chaque type de terminal de votre organisation et configurez les valeurs appropriées
pour chaque paramètre de profil. Pour plus de détails sur chaque paramètre de profil, reportez-vous à la section
Paramètres de profil de messagerie.
Paramètres de profil de messagerie, à la page 287
Créer un profil de messagerie IMAP/POP3
Les paramètres de profil requis varient pour chaque type de terminal et dépendent des paramètres que vous sélectionnez.
Remarque: BES12 envoie le profil de messagerie aux terminaux Android, mais l'utilisateur doit configurer manuellement la
connexion au serveur de messagerie.
1.
2.
Cliquez sur
en regard de Messagerie IMAP/POP3.
75
3.
4.
Dans le champ Type de messagerie, sélectionnez le type de protocole de messagerie.
5.
Dans le champ Adresse électronique, effectuez l'une des opérations suivantes :
•
Si le profil concerne un utilisateur, saisissez l'adresse électronique de l'utilisateur.
•
Si le profil concerne plusieurs utilisateurs, saisissez %UserEmailAddress%.
6.
Dans la section Paramètres du courrier entrant, saisissez le nom d'hôte ou l'adresse IP du serveur de messagerie pour la
réception du courrier.
7.
Si nécessaire, saisissez le port pour la réception du courrier.
8.
9.
•
•
Dans la section Paramètres du courrier sortant, saisissez le nom d'hôte ou l'adresse IP du serveur de messagerie pour
l'envoi du courrier.
10. Si nécessaire, saisissez le port pour l'envoi du courrier.
11. Si nécessaire, sélectionnez Authentification requise pour les e-mails sortants et spécifiez les informations d'identification
utilisées pour l'envoi du courrier.
12. Cliquez sur l'onglet correspondant à chaque type de terminal de votre organisation et configurez les valeurs appropriées
pour chaque paramètre de profil. Pour plus de détails sur chaque paramètre de profil, consultez Paramètres de profil de
messagerie IMAP/POP3.
Paramètres de profil de messagerie IMAP/POP3, à la page 312
Extension de la sécurité de la messagerie à l'aide de S/MIME
Vous pouvez renforcer la sécurité de la messagerie des utilisateurs de terminaux BlackBerry 10, iOS et Android en activant S/
MIME. S/MIME propose une méthode standard de cryptage et de signature des e-mails. Les utilisateurs peuvent crypter, signer
ou crypter et signer les e-mails à l'aide de la protection S/MIME s'ils utilisent un compte de messagerie professionnel prenant
en charge les messages protégés par S/MIME sur les terminaux. S/MIME ne peut pas être activé pour les adresses électroniques
personnelles.
Les utilisateurs peuvent stocker les certificats S/MIME des destinataires sur leurs terminaux. Les utilisateurs peuvent stocker
leurs clés privées sur leurs terminaux ou sur une carte à puce.
76
Vous pouvez activer S/MIME pour les utilisateurs dans un profil de messagerie. Vous pouvez contraindre les utilisateurs de
terminaux BlackBerry 10 à utiliser S/MIME, mais pas les utilisateurs de terminaux iOS ou Android. Lorsque l'utilisation de S/
MIME est facultative, un utilisateur peut activer S/MIME sur le terminal et choisir de crypter, signer ou crypter et crypter et
signer les e-mails.
Les paramètres S/MIME sont prioritaires sur les paramètres PGP. Lorsque la prise en charge S/MIME est définie sur Requise, les
paramètres PGP sont ignorés.
Pour plus d'informations sur S/MIME, reportez-vous au contenu relatif à la sécurité.
Récupération des certificats S/MIME
Vous pouvez utiliser les profils de récupération de certificat pour autoriser les terminaux à rechercher et récupérer les certificats
S/MIME des destinataires à partir des serveurs de certificats LDAP. Si le certificat S/MIME ne figure pas déjà dans un magasin
de certificats du terminal, le terminal le récupère et l'importe automatiquement dans le magasin de certificats.
Type de terminal
Description
BlackBerry 10
Les terminaux recherchent chaque serveur de certificats LDAP que vous spécifiez
dans le profil et récupèrent le certificat S/MIME. S'il existe plusieurs certificats S/
MIME et si un terminal n'est pas en mesure de déterminer celui qui a la préférence,
le terminal affiche tous les certificats S/MIME pour permettre à l'utilisateur de faire
son choix.
Vous pouvez demander à ce que les terminaux utilisent l'authentification simple ou
l'authentification Kerberos pour s'authentifier auprès des serveurs de certificats
LDAP. Si vous souhaitez que les terminaux utilisent l'authentification simple, vous
pouvez inclure les informations d'authentification requises dans des profils de
récupération de certificat pour permettre aux terminaux de s'authentifier
automatiquement auprès des serveurs de certificats LDAP. Si vous souhaitez que
les terminaux utilisent l'authentification Kerberos, vous pouvez inclure les
informations d'authentification requises dans des profils de récupération de
certificat pour permettre aux terminaux exécutant BlackBerry 10 OS version 10.3.1
ou ultérieure de s'authentifier automatiquement auprès des serveurs de certificats
LDAP. Sinon, le terminal demande à l'utilisateur les informations d'authentification
requises la première fois que le terminal tente de s'authentifier auprès d'un serveur
de certificats LDAP. Pour les terminaux exécutant BlackBerry 10 OS
versions 10.2.1 à 10.3, le terminal invite l'utilisateur à fournir les informations
d'authentification requises la première fois que le terminal tente de s'authentifier
auprès d'un serveur de certificats LDAP.
Si vous mettez en œuvre l'authentification Kerberos pour l'extraction du certificat S/
MIME, vous devez attribuer un profil d'identification unique aux utilisateurs ou
groupes d'utilisateurs applicables. Pour plus d'informations sur la création et
l'attribution d'un profil d'identification unique, reportez-vous à Configuration de
l'authentification avec identification unique pour les terminaux.
77
Type de terminal
Description
iOS et Android
Les terminaux recherchent le serveur de certificats LDAP que vous spécifiez dans le
profil et récupèrent le certificat S/MIME.
Les terminaux utilisent l'authentification par mot de passe pour s'authentifier
auprès du serveur de certificats LDAP. Vous incluez le mot de passe requis dans le
profil de récupération de certificat pour permettre aux terminaux de s'authentifier
automatiquement auprès du serveur de certificats LDAP.
Si vous ne créez pas de profil de récupération de certificat et ne l'attribuez pas aux comptes d'utilisateur, groupes d'utilisateurs
ou de groupes de terminaux, les utilisateurs doivent manuellement importer les certificats S/MIME à partir d'une pièce jointe à
un e-mail professionnel ou d'un ordinateur.
Créer un profil de récupération de certificat
Avant de commencer:
•
pour permettre aux terminaux d'approuver les serveurs de certificats LDAP lorsqu'ils établissent des connexions
sécurisées, vous devrez peut-être distribuer les certificats d'autorité de certification aux terminaux. Si nécessaire,
créez des profils de certificat d'autorité de certification et attribuez-les aux comptes d'utilisateur, groupes
d'utilisateurs ou groupes de terminaux. Pour plus d'informations sur les certificats CA, reportez-vous à Envoi de
certificats CA à des terminaux.
•
Si vous mettez en œuvre l'authentification Kerberos pour l'extraction du certificat S/MIME, vous devez attribuer un
profil d'identification unique aux utilisateurs ou groupes d'utilisateurs applicables. Pour plus d'informations sur les
profils d'identification unique, reportez-vous à Configuration de l'authentification avec identification unique pour les
terminaux.
Pour obtenir un exemple de profil de récupération d'un certificat, rendez-vous sur http://support.blackberry.com/ pour lire
l'article KB38249.
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil de récupération de certificat.
4.
en regard de Récupération de certificat.
Tâche
Étapes
Pour utiliser LDAP pour
BlackBerry 10
1.
Dans le tableau, cliquez sur
2.
Dans le champ URL du service, saisissez le FQDN d'un serveur de certificats
LDAP au format ldap://<fqdn>:<port>. (Par exemple, ldap://
serveur01.exemple.com:389).
78
.
Tâche
Étapes
3.
Dans le champ Base de recherche, saisissez le DN de base correspondant au
point de départ des recherches effectuées sur le serveur de certificats LDAP.
4.
Dans la liste déroulante Étendue de la recherche, effectuez l'une des opérations
suivantes :
5.
Pour utiliser LDAP pour les
terminaux iOS et Android
•
Pour rechercher l'objet de base uniquement (DN de base), cliquez sur
Base. Cette option correspond à la valeur par défaut.
•
Pour rechercher un niveau en-dessous de l'objet de base, mais pas
l'objet de base lui-même, cliquez sur Un niveau.
•
Pour rechercher l'objet de base et tous les niveaux situés en-dessous,
cliquez sur Sous-arborescence.
•
Pour rechercher tous les niveaux en-dessous de l'objet de base, mais
pas l'objet de base lui-même, cliquez sur Enfants.
Si une authentification est requise, procédez comme suit :
a
Dans la liste déroulante Type d'authentification, cliquez sur Simple ou
Kerberos.
b
Dans le champ ID utilisateur LDAP, saisissez le DN d'un compte doté
d'autorisations de recherche sur le serveur de certificats LDAP (par
exemple, cn=admin,dc=exemple,dc=com).
c
Dans le champ Mot de passe LDAP, saisissez le mot de passe du compte
doté des autorisations de recherche sur le serveur de certificats LDAP.
6.
Si nécessaire, cochez la case Utiliser une connexion sécurisée.
7.
Dans le champ Délai de connexion, saisissez le délai, en secondes, durant
lequel le terminal attend la réponse du serveur de certificats LDAP.
8.
9.
Répétez les étapes 4.2 à 4.8 pour chaque serveur de certificats LDAP.
1.
Sélectionnez Utiliser LDAP .
2.
Dans le champ URL du service, saisissez le FQDN d'un serveur de certificats
LDAP au format ldap://<fqdn>:<port>. (Par exemple, ldap://
serveur01.exemple.com:389).
3.
Dans le champ DN de base, saisissez le DN racine dans le répertoire où le
terminal effectue la recherche. (Par exemple,
ou=utilisateurs,de=exemple,dc=com)
79
Tâche
Étapes
Pour utiliser Exchange
ActiveSync pour les terminaux
iOS et Android
5.
4.
Dans le champ DN de liaison, saisissez le DN d'un compte doté des
autorisations de recherche sur le serveur de certificats LDAP. (Par exemple,
cn=admin,dc=exemple,dc=com).
5.
Dans le champ Mot de passe LDAP, saisissez le mot de passe du DN de liaison.
6.
1.
Sélectionnez Utiliser Exchange ActiveSync.
À la fin:
•
Pour permettre aux terminaux BlackBerry 10 de vérifier l'état du certificat, créez un profil OCSP ou CRL.
•
Créer un profil OCSP, à la page 81
Créer un profil CRL, à la page 81
Identification de l'état des certificats S/MIME sur les terminaux
Vous pouvez utiliser des profils OCSP et CRL pour permettre aux terminaux BlackBerry 10 de vérifier l'état des certificats S/
MIME. Vous pouvez attribuer un profil OCSP et un profil CRL à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de
terminaux.
Les terminaux BlackBerry 10 recherchent chaque répondeur OCSP que vous spécifiez dans un profil OCSP et récupère l'état
des certificats S/MIME. Les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure peuvent envoyer des demandes
d'état de certificat à BES12, et vous pouvez utiliser des profils CRL pour configurer BES12 afin de rechercher l'état des
certificats S/MIME via HTTP, HTTPS ou LDAP.
Si vous utilisez Exchange ActiveSync pour obtenir des certificats, les terminaux iOS et Android utilisent Exchange ActiveSync
pour vérifier l'état de certificats S/MIME. Si vous utilisez LDAP pour obtenir des certificats, les terminaux iOS et Android utilisent
OCSP pour vérifier l'état de certificats.Les terminaux Android et iOS n'utilisent pas de profils OCSP. Les terminaux vérifient le
répondeur OCSP du certificat.
Pour plus d'informations sur les indicateurs d'état de certificat, consultez le guide de l'utilisateur du terminal et consultez la
section relative aux icônes d'e-mails sécurisés.
80
Créer un profil OCSP
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil OCSP.
4.
en regard de OCSP.
a.
Dans le tableau, cliquez sur
b.
Dans le champ URL du service, saisissez l'adresse Web d'un répondeur OCSP.
c.
Dans le champ Délai de connexion, saisissez le délai, en secondes, durant lequel le terminal attend la réponse
OCSP.
d.
.
5.
Répétez l'étape 4 pour chaque répondeur OCSP.
6.
Créer un profil CRL
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil CRL.
4.
Pour permettre aux terminaux d'utiliser les URL définies dans le certificat, cochez la case Utiliser des répondeurs
d'extension de certificat.
5.
en regard de CRL.
Tâche
Étapes
Spécifier une configuration HTTP CRL
1.
Dans la section HTTP pour CRL, cliquez sur
2.
Saisissez le nom et la description de la configuration HTTP CRL.
3.
Dans le champ URL du service, saisissez l'adresse Web d'un répondeur
HTTP ou HTTPS.
4.
81
.
Tâche
Spécifier une configuration LDAP CRL
6.
Étapes
5.
Répétez les étapes 1 à 4 pour chaque serveur HTTP ou HTTPS.
1.
Dans la section LDAP pour CRL, cliquez sur
2.
Saisissez le nom et la description de la configuration LDAP CRL.
3.
Dans le champ URL du service, saisissez le FQDN d'un serveur LDAP au
format ldap://<fqdn>:<port> (par exemple, ldap://server01,exemple.com:
389). Pour les connexions sécurisées, utilisez le format ldaps://
<fqdn>:<port>.
4.
Dans le champ Base de recherche, saisissez le DN de base correspondant
au point de départ des recherches effectuées sur le serveur LDAP.
5.
6.
Dans le champ ID utilisateur LDAP, saisissez le DN d'un compte doté
d'autorisations de recherche sur le serveur LDAP (par exemple,
cn=admin,dc=example,dc=com).
7.
Dans le champ Mot de passe LDAP, saisissez le mot de passe du compte
doté des autorisations de recherche sur le serveur LDAP.
8.
9.
Répétez les étapes 1 à 8 pour chaque serveur LDAP.
.
Extension de la sécurité de la messagerie avec PGP
Pour les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure, vous pouvez étendre la sécurité de la messagerie
des utilisateurs de terminaux en activant PGP. PGP protège les e-mails des terminaux utilisant le format OpenPGP. Les
utilisateurs peuvent signer, crypter ou signer et crypter des e-mails avec la protection PGP lorsqu'ils utilisent une adresse
électronique professionnelle. PGP ne peut pas être activé pour les adresses électroniques personnelles.
Vous pouvez activer PGP pour les utilisateurs dans un profil de messagerie. Vous pouvez contraindre les utilisateurs de
terminaux BlackBerry 10 à utiliser PGP, interdire l'utilisation de PGP ou la rendre facultative. Lorsque l'utilisation de PGP est
facultative (paramètre par défaut), un utilisateur peut activer PGP sur le terminal et choisir de crypter, signer ou crypter et
crypter et signer les e-mails.
82
Pour signer et crypter les e-mails, les utilisateurs doivent disposer des clés PGP pour chaque destinataire sur leurs terminaux.
Les utilisateurs peuvent stocker les clés PGP en important des fichiers depuis un e-mail professionnel.
Vous pouvez configurer PGP à l'aide des paramètres de profil de messagerie qui conviennent.
Pour plus d'informations sur PGP, reportez-vous au contenu relatif à la sécurité.
BlackBerry 10 : paramètres de profil de messagerie, à la page 288
Application des e-mails sécurisés à l'aide de la classification de
messages
La classification de messages permet à votre organisation de spécifier et d'appliquer des stratégies de sécurité des e-mails et
d'ajouter des marques visuelles à des e-mails sur des terminaux BlackBerry 10. Vous pouvez utiliser BES12 pour fournir aux
utilisateurs de terminaux BlackBerry 10 des options de classification de messages similaires à celles que vous avez mises à leur
disposition pour les applications de messagerie de leur ordinateur. Vous pouvez définir les règles suivantes pour qu'elles
s'appliquent aux messages sortants, en fonction des classifications des messages :
•
Ajouter une étiquette pour identifier la classification de message (par exemple : confidentiel)
•
Ajouter un marqueur visuel à la fin de la ligne d'objet (par exemple : [C])
•
Ajouter du texte au début ou à la fin du corps d'un e-mail (par exemple : ce message a été classé comme confidentiel)
•
Définir des options S/MIME ou PGP (par exemple : signer et crypter)
•
Définir une classification par défaut
Pour les terminaux qui exécutent BlackBerry 10 OS version 10.3.1 ou ultérieure, vous pouvez utiliser la classification de
messages pour exiger que les utilisateurs signent, cryptent ou signent et cryptent les e-mails, ou qu'ils ajoutent des marques
visuelles aux e-mails qu'ils envoient de leurs terminaux. Vous pouvez utiliser des profils de messagerie pour les fichiers de
configuration de classification de messages (avec extensions de noms de fichiers .json) à envoyer aux terminaux des
utilisateurs. Lorsque les utilisateurs répondent à des e-mails avec classification de messages ou rédigent des e-mails sécurisés,
la configuration de classification de messages détermine les règles de classification que les terminaux doivent appliquer aux
messages sortants.
Les options de protection des messages sur un terminal sont limitées aux types de cryptage et de signature numérique
autorisés sur le terminal. Lorsqu'un utilisateur applique une classification de messages à un e-mail sur un terminal, il doit
sélectionner l'un des types de protection de message autorisés par cette classification ou accepter le type de protection de
message par défaut. Si un utilisateur sélectionne une classification de messages nécessitant la signature, le cryptage ou la
signature et le cryptage de l'e-mail et si le terminal ne dispose pas d'une configuration S/MIME ou PGP, l'utilisateur ne peut pas
envoyer l'e-mail.
Les paramètres S/MIME et PGP sont prioritaires sur la classification de messages. Les utilisateurs peuvent augmenter, mais pas
diminuer, les niveaux de classification de messages sur leurs terminaux. Les niveaux de classification de messages sont
déterminés par les règles d'e-mails sécurisés de chaque classification.
Lorsque la classification de messages est activée, les utilisateurs ne peuvent pas utiliser BlackBerry Assistant pour envoyer des
e-mails à partir de leurs terminaux.
83
Vous pouvez configurer la classification de messages à l'aide des paramètres de profil de messagerie qui conviennent.
Pour plus d'informations sur la création de fichiers de configuration de classification de messages, rendez-vous sur
support.blackberry.com/kb et consultez l'article KB36736.
Création de profils proxy pour les terminaux
Vous pouvez spécifier la manière dont les terminaux utilisent un serveur proxy pour accéder à des services Web sur Internet ou
un réseau professionnel. Pour les terminaux BlackBerry 10, iOS, OS X et Android, vous devez créer un profil de proxy. Pour les
terminaux Windows 10, vous devez ajouter les paramètres de proxy dans Wi-Fi ou dans le profil VPN.
Sauf note contraire, les profils proxy prennent en charge les serveurs proxy utilisant l'authentification de base ou aucune
authentification.
Terminal
Configuration du proxy
BlackBerry 10
Créez un profil proxy et associez-le aux profils utilisés par votre entreprise, notamment :
iOS
•
Wi-Fi
•
VPN
•
Créez un profil proxy et associez-le aux profils utilisés par votre entreprise, notamment :
•
Wi-Fi
•
VPN
Vous pouvez attribuer un profil proxy à des comptes d'utilisateur, groupes d'utilisateurs ou
groupes de terminaux.
Remarque: Un profil proxy attribué à des comptes d'utilisateur, groupes d'utilisateurs ou
groupes de terminaux est un proxy global réservé aux terminaux supervisés et prioritaire sur
un profil proxy associé à un profil Wi-Fi ou VPN. Les terminaux supervisés utilisent les
paramètres proxy globaux pour toutes les connexions HTTP.
OS X
Créez un profil proxy et associez-le à un profil Wi-Fi ou VPN.
OS X applique les profils aux terminaux ou comptes d'utilisateur. Les profils de proxy sont
appliqués aux terminaux.
Android for Work
Créez un profil proxy et associez-le à un profil Wi-Fi.
Samsung KNOX
Créer un profil proxy et associez-le avec les profils que votre entreprise utilise. Les conditions
suivantes s'appliquent :
84
Terminal
Configuration du proxy
•
Pour les profils Wi-Fi, seuls les profils de proxy possédant une configuration manuelle
sont pris en charge sur les terminaux KNOX. Les profils proxy que vous associez aux
profils Wi-Fi prennent en charge les serveurs proxy utilisant l'authentification de base,
NTML ou aucune authentification.
•
Pour les profils VPN et de connectivité d'entreprise, les profils proxy avec une
configuration manuelle sont pris en charge sur les terminaux Samsung KNOX Workspace
qui utilisent KNOX 2.5 et versions ultérieures. Les profils proxy avec configuration PAC
sont pris en charge sur les terminaux KNOX Workspace qui utilisent une version deKNOX
ultérieure à la version 2.5.
Remarque: Si vous souhaitez utiliser un proxy profil avec un profil de connectivité
d'entreprise,BlackBerry Secure Connect Plusdoit être activé.
Vous pouvez attribuer un profil proxy à des comptes d'utilisateur, groupes d'utilisateurs ou
groupes de terminaux. Les conditions suivantes s'appliquent :
•
Sur les terminaux KNOX Workspace, le profil configure les paramètres de proxy du
navigateur de l'espace Travail.
•
Sur les terminaux Samsung KNOX MDM, le profil configure les paramètres de proxy du
navigateur sur le terminal.
Remarque: la configuration du CCP n'est pas prise en charge sur les terminaux KNOX
Workspace qui utilisent KNOX 2.5 et versions antérieures et les terminaux KNOX MDM.
Windows 10
Créez un profil Wi-Fi ou VPN et spécifiez les informations du serveur proxy dans les
paramètres du profil. Les conditions suivantes s'appliquent :
•
Le proxy Wi-Fi prend en charge uniquement la configuration manuelle et est pris en
charge uniquement sur les terminaux Windows 10 Mobile.
•
Le proxy VPN prend en charge la configuration PARC ou manuelle.
Créer un profil proxy
Si votre organisation utilise un fichier PAC pour définir des règles proxy, vous pouvez sélectionner la configuration PAC pour
utiliser les paramètres du serveur proxy depuis le fichier PAC que vous spécifiez. Sinon, vous pouvez sélectionner la
configuration manuelle et spécifier les paramètres du serveur proxy directement dans le profil.
Pour obtenir un exemple d'un profil de proxy, rendez-vous sur http://support.blackberry.com/ pour lire l'article KB38250.
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil proxy.
en regard de Proxy.
85
4.
5.
Tâche
Étapes
Spécifier les paramètres de
configuration PAC
1.
Dans la liste déroulante Type, vérifiez que le paramètre Configuration PAC
est sélectionné.
2.
Dans le champ URL du fichier PAC, saisissez l'URL du serveur Web
hébergeant le fichier PAC et indiquez le nom du fichier PAC (par exemple,
http://www.exemple.com/PACfile.pac).
3.
Dans l'onglet BlackBerry, procédez comme suit :
a
Si votre organisation requiert que les utilisateurs fournissent un nom
d'utilisateur et un mot de passe pour se connecter au serveur proxy
et que le profil correspond à plusieurs utilisateurs, dans le champ
Nom d'utilisateur, saisissez %UserName%. Si le serveur proxy
requiert le nom de domaine pour l'authentification, utilisez le format
<domain>\<username>.
b
Dans la liste déroulante Modifiable par l'utilisateur, cliquez sur les
paramètres proxy que les utilisateurs de terminaux BlackBerry 10
peuvent modifier. La valeur par défaut est Lecture seule.
Définir les paramètres de configuration 1.
manuelle
2.
Dans la liste déroulante Type, cliquez sur Configuration manuelle.
3.
Dans le champ Port, saisissez le numéro de port du serveur proxy.
4.
Si votre organisation requiert que les utilisateurs fournissent un nom
d'utilisateur et un mot de passe pour se connecter au serveur proxy et que
le profil correspond à plusieurs utilisateurs, dans le champ Nom
d'utilisateur, saisissez %UserName%. Si le serveur proxy requiert le nom
de domaine pour l'authentification, utilisez le format <domain>
\<username>.
5.
Dans l'onglet BlackBerry, procédez comme suit :
Dans le champ Hôte, saisissez le FQDN ou l'adresse IP du serveur proxy.
a
Dans la liste déroulante Modifiable par l'utilisateur, cliquez sur les
paramètres proxy que les utilisateurs de terminaux BlackBerry 10
peuvent modifier. La valeur par défaut est Lecture seule.
b
Vous pouvez également spécifier une liste d'adresses auxquelles les
utilisateurs peuvent directement accéder à partir de leurs terminaux
BlackBerry 10, sans utiliser le serveur proxy. Dans le champ Liste
d'exclusion, saisissez les adresses (FQDN ou IP) et utilisez un pointvirgule (;) pour séparer les valeurs de la liste. Vous pouvez utiliser le
86
Tâche
Étapes
caractère générique (*) dans un nom FQDN ou IP (par exemple,
*.exemple.com ou 192.0.2.*).
6.
Répétez les étapes 4 et 5 pour chaque type de terminal de votre organisation.
7.
À la fin:
•
Associez le profil proxy à un profil Wi-Fi, VPN ou de connectivité d'entreprise.
•
Si nécessaire, classez les profils. Le classement que vous spécifiez s'applique uniquement si vous attribuez un profil
proxy à des groupes d'utilisateurs ou à des groupes de terminaux.
Configuration de réseaux Wi-Fi professionnels
pour les terminaux
Vous pouvez utiliser un profil Wi-Fi pour spécifier la manière dont les terminaux se connectent à un réseau Wi-Fi professionnel
derrière le pare-feu. Vous pouvez attribuer un profil Wi-Fi à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de
terminaux.
Terminal
Applications et connexions réseau
BlackBerry 10
Par défaut, les applications professionnelles et personnelles peuvent utiliser les profils Wi-Fi
stockés sur le terminal pour se connecter au réseau de votre organisation. Si les normes de
sécurité de votre organisation n'autorisent pas les applications personnelles à accéder au
réseau de votre organisation, vous pouvez limiter les options de connexion.
iOS
Les applications suivantes peuvent utiliser les profils Wi-Fi stockés sur le terminal pour se
connecter au réseau de votre organisation :
OS X
•
Applications professionnelles et personnelles
•
Applications sécurisées (sur les terminaux Secure Work Space)
Les applications professionnelles et personnelles peuvent utiliser les profils Wi-Fi stockés sur
le terminal pour se connecter au réseau de votre organisation.
87
Terminal
Android
Les applications suivantes peuvent utiliser les profils Wi-Fi stockés sur le terminal pour se
connecter au réseau de votre organisation :
Windows
•
Applications professionnelles et personnelles
•
Applications sécurisées (sur les terminaux Secure Work Space)
Les applications professionnelles et personnelles peuvent utiliser les profils Wi-Fi stockés sur
le terminal pour se connecter au réseau de votre organisation.
Créer un profil Wi-Fi
Les paramètres de profil requis varient pour chaque type de terminal et dépendent du type de sécurité Wi-Fi et du protocole
d'authentification que vous sélectionnez.
Avant de commencer:
•
Si les terminaux utilisent l'authentification basée sur des certificats pour les connexions Wi-Fi professionnelles, créez
un profil de certificat d'autorité de certification et attribuez-le aux comptes d'utilisateur, groupes d'utilisateurs ou
groupes de terminaux. Pour envoyer les certificats client aux terminaux, créez un profil SCEP, un profil de certificat
partagé ou un profil d'informations d'identification de l'utilisateur à associer au profil Wi-Fi.
•
Pour les terminaux BlackBerry 10, iOS, OS X, Android for Work ou Samsung KNOX qui utilisent un serveur proxy pour
les connexions Wi-Fi professionnelles, créez un profil proxy à associer au profil Wi-Fi.
•
Si les terminaux BlackBerry 10 utilisent un réseau VPN pour les connexions Wi-Fi professionnelles, créez un profil
VPN à associer au profil Wi-Fi.
1.
2.
Cliquez sur
3.
Tapez le nom et la description du profil Wi-Fi. Cette information s'affiche sur les terminaux.
4.
Dans le champ SSID, saisissez le nom de réseau d'un réseau Wi-Fi.
5.
Si le réseau Wi-Fi ne diffuse pas le SSID, cochez la case Réseau masqué.
6.
7.
en regard de Wi-Fi.
a.
b.
configuration Wi-Fi dans l'environnement de votre organisation. Si votre organisation requiert que les utilisateurs
fournissent un nom d'utilisateur et un mot de passe pour se connecter au réseau Wi-Fi et que le profil correspond à
plusieurs utilisateurs, dans le champ Nom d'utilisateur, saisissez %UserName%.
88
Pour plus de détails sur chaque paramètre de profil, reportez-vous à la section Paramètres du profil Wi-Fi .
8.
9.
Paramètres du profil Wi-Fi, à la page 336
Configuration de réseaux VPN professionnels
pour les terminaux
Vous pouvez utiliser un profil VPN pour spécifier la manière dont les terminaux BlackBerry 10, iOS, OS X, Samsung KNOX
Workspace et Windows 10 se connectent à un VPN professionnel. Vous pouvez attribuer un profil VPN à des comptes
d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Pour les terminaux BlackBerry 10, vous pouvez également
associer un profil VPN au profil Wi-Fi.
Pour se connecter à un VPN professionnel, les utilisateurs de terminaux Android et Windows Phone doivent configurer
manuellement les paramètres VPN de leurs terminaux.
Terminal
BlackBerry 10
•
Par défaut, les applications professionnelles et personnelles peuvent utiliser les profils
VPN stockés sur le terminal pour se connecter au réseau de votre organisation. Si les
normes de sécurité de votre organisation n'autorisent pas les applications personnelles à
accéder au réseau de votre organisation, vous pouvez limiter les options de connexion.
iOS
•
Les applications professionnelles et personnelles peuvent utiliser les profils VPN stockés
sur le terminal pour se connecter au réseau de votre organisation. Vous pouvez activer
un VPN par application pour un profil VPN afin de limiter ce dernier aux applications
professionnelles que vous spécifiez.
OS X
•
Vous pouvez configurer des profils VPN pour permettre aux applications de se connecter
au réseau de votre organisation.
KNOX Workspace
•
Les applications professionnelles peuvent utiliser les profils VPN stockés sur le terminal
pour se connecter au réseau de votre organisation.
•
Une application client VPN prise en charge doit être installée sur le terminal. Cisco
AnyConnect et Juniper sont pris en charge.
89
Terminal
Remarque: L'application Juniper prend uniquement en charge SSL VPN.
Windows 10
•
Vous pouvez configurer des profils VPN pour permettre aux applications de se connecter
au réseau de votre organisation. Dans le profil VPN, vous pouvez spécifier une liste
d'applications que le VPN doit utiliser.
Créer un profil VPN
Les paramètres de profil requis varient pour chaque type de terminal et dépendent du type de connexion VPN et du type
d'authentification que vous sélectionnez.
Remarque: certains terminaux peuvent ne pas être en mesure de stocker le mot de passe xAuth. Pour plus d'informations,
rendez-vous sur le site support.blackberry.com/kb pour lire l'article KB30353.
Avant de commencer:
•
Si les terminaux utilisent l'authentification basée sur des certificats pour les connexions VPN, créez un profil de
certificat d'autorité de certification et attribuez-le aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de
terminaux. Pour envoyer les certificats client aux terminaux, créez un profil SCEP, un profil de certificat partagé ou un
profil d'informations d'identification de l'utilisateur à associer au profil VPN.
•
Pour les terminaux BlackBerry 10, iOS, OS X et Samsung KNOX Workspace qui utilisant un serveur proxy, créez un
profil proxy à associer au profil VPN. (Le serveur proxy pour les terminaux Windows 10 est configuré dans le profil
VPN.)
•
Pour les terminaux KNOX Workspace, ajoutez l'application client VPN qui convient à la liste des applications et
attribuez-la aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Les applications client VPN
prises en charge sont Cisco AnyConnect et Juniper.
1.
2.
Cliquez sur
3.
Tapez le nom et la description du VPN. Cette information s'affiche sur les terminaux.
4.
5.
en regard de VPN.
a.
b.
configuration VPN dans l'environnement de votre organisation. Si votre organisation requiert que les utilisateurs
fournissent un nom d'utilisateur et un mot de passe pour se connecter au réseau VPN et que le profil correspond à
plusieurs utilisateurs, dans le champ Nom d'utilisateur, saisissez %UserName%.
90
Pour plus de détails sur chaque paramètre de profil, reportez-vous à la section Paramètres du profil VPN.
6.
7.
Paramètres du profil VPN, à la page 358
Activation d'un VPN à la demande pour les terminaux iOS ou
OS X
Le VPN à la demande vous permet de spécifier si un terminal iOS ou OS X se connecte automatiquement à un VPN dans un
domaine particulier. Les certificats client assurent l'authentification du terminal de l'utilisateur lors de l'accès au domaine
particulier. Par exemple, vous pouvez spécifier le domaine de votre organisation pour permettre aux utilisateurs d'accéder au
contenu de votre intranet à l'aide d'un VPN à la demande.
Activation d'un VPN par application
Pour les terminaux iOS et Windows 10, vous pouvez utiliser un VPN par application afin de spécifier les applications
professionnelles et sécurisées qui doivent utiliser un VPN pour leurs données en transit. Un VPN par application permet de
diminuer la charge du VPN de votre organisation en limitant son utilisation à certaines charges du trafic professionnel (l'accès
aux serveurs d'applications ou aux pages Web derrière le pare-feu, par exemple). Cette fonction prend également en charge la
confidentialité de l'utilisateur et augmente la vitesse de connexion des applications personnelles en n'acheminant pas le trafic
personnel via le VPN.
Pour les terminaux iOS, les applications sont associées à un profil VPN lorsque vous attribuez l'application ou le groupe
d'applications à un utilisateur, un groupe d'utilisateurs ou un groupe de terminaux.
Pour les terminaux Windows 10, les applications sont ajoutées à la liste de déclenchement d'applications dans le profil VPN.
Comment BES12 choisit les paramètres VPN à attribuer par application
Un seul profil VPN peut être attribué à une application ou à un groupe d'applications. BES12 utilise les règles suivantes pour
déterminer les paramètres VPN d'application à attribuer à une application sur les terminaux iOS :
•
Les paramètres VPN d'application directement associés à une application sont prioritaires sur les paramètres VPN
d'application indirectement associés via un groupe d'applications.
•
Les paramètres VPN d'application directement associés à un utilisateur sont prioritaires sur les paramètres VPN
d'application indirectement associés via un groupe d'utilisateurs.
91
•
Les paramètres VPN d'application attribués à une application requise sont prioritaires sur les paramètres VPN
d'application attribués à une instance facultative de la même application.
•
Les paramètres VPN d'application associés au nom du groupe d'utilisateurs qui apparait en premier dans la liste
alphabétique sont prioritaires si les conditions suivantes sont remplies :
◦
Une application est attribuée à plusieurs groupes d'utilisateurs
◦
La même application apparait dans les groupes d'utilisateurs
◦
L'application est attribuée de la même manière, en tant qu'application seule ou groupe d'applications
◦
L'application a la même disposition dans toutes les attributions (obligatoire ou facultative)
Par exemple, vous attribuez Cisco WebEx Meetings en tant qu'application facultative aux groupes d'utilisateurs
Développement et Marketing. Lorsqu'un utilisateur est dans les deux groupes, les paramètres VPN d'application du
groupe Développement sont appliqués à l'application WebEx Meetings pour cet utilisateur.
Si un profil VPN d'application est attribué à un groupe de terminaux, il est prioritaire sur le profil VPN d'application qui est
attribué au compte d'utilisateur des terminaux qui appartiennent au groupe de terminaux.
Configuration de la connectivité d'entreprise
pour les terminaux
Vous pouvez utiliser un profil de connectivité d'entreprise pour activer BlackBerry Secure Connect Plus pour les terminaux
BlackBerry 10, Samsung KNOX Workspace et Android for Work et les terminaux iOS dotés d'activations Contrôles MDM. Pour
plus d'informations, reportez-vous à Utilisation de BlackBerry Secure Connect Plus pour des connexions sécurisées aux
ressources professionnelles.
Configuration de l'authentification avec
identification unique pour les terminaux
Le profil d'identification unique vous permet d'activer les terminaux BlackBerry 10 ainsi que certains terminaux iOS à des fins
d'authentification automatique auprès de domaines et services Web de votre réseau d'entreprise. Une fois le profil
d'identification unique attribué, l'utilisateur est invité à saisir un nom d'utilisateur et un mot de passe la première fois qu'il tente
d'accéder au domaine que vous avez spécifié. Les informations de connexion sont enregistrées sur le terminal de l'utilisateur et
automatiquement utilisées lorsqu'il tente d'accéder à l'un des domaines sécurisés spécifiés dans le profil. Si l'utilisateur
change de mot de passe, celui-ci lui est demandé lorsqu'il tente à nouveau d'accéder à un domaine sécurisé.
Vous pouvez également utiliser un profil d'identification unique pour spécifier les domaines approuvés pour les certificats que
vous envoyez aux terminaux BlackBerry 10 à l'aide d'un profil SCEP. Une fois les domaines approuvés spécifiés, les utilisateurs
BlackBerry 10 peuvent sélectionner les certificats requis lorsqu'ils accèdent à un domaine approuvé.
92
Les profils d'identification unique prennent en charge les types d'authentification suivants :
Type d'authentification
•
Kerberos
•
NTLM
•
Spécifier les
domaines
approuvés pour les
certificats SCEP
OS du terminal
S'applique à
iOS
•
Navigateur et applications
•
Pour limiter les applications pouvant utiliser le profil
BlackBerry 10 OS
•
Navigateur et applications de l'espace Travail
BlackBerry 10 OS
•
Navigateur et applications de l'espace Travail
Conditions préalables : utilisation de l'authentification Kerberos
pour les terminaux
Pour les terminaux qui utilisent Kerberos, si un TGT valide est disponible, les utilisateurs ne sont pas invités à saisir leurs
informations de connexion s'ils accèdent aux ressources internes de votre entreprise à partir du navigateur et des applications
de l'espace Travail.
Pour configurer l'authentification Kerberos pour des domaines spécifiques, vous pouvez télécharger le fichier de configuration
Kerberos de votre organisation (krb5.conf). BES12 prend en charge l'implémentation Heimdal de Kerberos.
Vérifiez que le fichier de configuration répond aux exigences suivantes :
•
La configuration Kerberos utiliser le protocole TCP par défaut au lieu du protocole UDP. Utilisez le préfixe tcp/ pour les
hôtes KDC.
•
Si votre organisation utilise un réseau VPN, la passerelle VPN doit autoriser le trafic vers les KDC.
Authentification basée sur des certificats pour iOS 8 ou version
ultérieure
Pour les terminaux exécutant iOS 8.0 ou version ultérieure, vous pouvez utiliser les certificats pour authentifier les terminaux
iOS auprès des domaines et services Web du réseau de votre organisation. Vous pouvez ajouter un profil de certificat partagé,
un profil SCEP ou un profil d'informations d'identification de l'utilisateur existant à un profil d'identification unique. Lorsque le
navigateur ou les applications des terminaux iOS utilisent une identification unique basée sur des certificats, les utilisateurs
sont automatiquement authentifiés (sous réserve de validité du certificat) et n'ont pas à entrer d'informations de connexion
pour accéder aux domaines sécurisés que vous avez spécifiés.
93
Utilisation d'un profil SCEP pour envoyer des certificats client sur des terminaux, à la page 66
Envoi du même certificat client à plusieurs terminaux, à la page 69
Utilisation de profils d'informations d'identification de l'utilisateur pour envoyer des certificats aux terminaux, à la page 67
Créer un profil d'identification unique
Avant de commencer:
•
Si vous souhaitez configurer l'authentification Kerberos pour les terminaux BlackBerry 10, localisez le fichier de
configuration Kerberos de votre organisation (krb5.conf).
•
Si vous souhaitez utiliser l'authentification basée sur des certificats pour les terminaux exécutant iOS 8.0 ou version
ultérieure, créez le profil de certificat partagé ou le profil SCEP nécessaire.
1.
2.
Cliquez sur
3.
4.
en regard d'Identification unique.
Tâche
Étapes
Configurer l'authentification
Kerberos pour les terminaux iOS
1.
Cliquez sur l'onglet iOS.
2.
Sous Kerberos, cliquez sur
3.
Dans le champ Nom, saisissez le nom de la configuration.
4.
Dans le champ Nom principal, saisissez le nom de l'instance principale de
Kerberos au format <primary>/<instance>@<realm> (par exemple, user/
[email protected]).
5.
Dans le champ Domaine, saisissez le domaine Kerberos en majuscules (par
exemple, EXEMPLE.COM).
6.
Dans le champ Préfixe d'URL, saisissez le préfixe des URL pour les sites auprès
desquels vous souhaitez que les terminaux s'authentifient. Le préfixe doit
commencer par http:// ou https:// et peut inclure des caractères génériques (*)
(par exemple, https://www.blackberry.exemple.com/*).
7.
Pour spécifier davantage de préfixes d'URL, cliquez sur
champs.
8.
Pour limiter la configuration à des applications spécifiques, cliquez sur
en
regard d'Identificateurs d’applications. Saisissez l'ID d'offre d'application. Vous
pouvez utiliser un caractère générique (*) pour mettre en correspondance l'ID
avec plusieurs applications. (par exemple, com.company.*).
94
.
afin d'ajouter plus de
Tâche
Étapes
9.
Pour spécifier davantage d'identifiants d'application, cliquez sur
d'ajouter plus de champs.
afin
10. Si vous souhaitez que les terminaux exécutant iOS 8.0 ou version ultérieure
utilisent l'authentification basée sur des certificats, dans la liste déroulante
Informations d'identification, cliquez sur Certificat, SCEP ou Informations
d'identification de l'utilisateur. Dans la liste déroulante des certificats, cliquez
sur le profil de certificat que vous souhaitez utiliser.
12. Si nécessaire, répétez les étapes 2 à 11 pour ajouter une autre configuration
Kerberos.
Kerberos pour les terminaux
BlackBerry 10
NTLM ou les domaines
approuvés pour les certificats
SCEP des terminaux BlackBerry
10
5.
1.
Cliquez sur l'onglet BlackBerry.
2.
Cliquez sur Parcourir. Accédez au fichier de configuration Kerberos de votre
organisation et sélectionnez-le (krb5.conf).
1.
Cliquez sur l'onglet BlackBerry.
2.
Sous Domaines approuvés, cliquez sur
3.
Dans le champ Nom, saisissez le nom de la configuration.
4.
Dans le champ Domaine, saisissez un sous-domaine approuvé ou un hôte
individuel où les informations d'identification pourront être utilisées à des fins
d'authentification automatique. Saisissez le nom du serveur en tant que FQDN,
nom d'hôte, alias ou adresse IP. Les noms DNS peuvent contenir des caractères
génériques (*).
5.
Pour spécifier davantage de sous-domaines, cliquez sur
de champs.
6.
7.
Si nécessaire, répétez les étapes 2 à 6 pour ajouter un autre domaine approuvé.
.
Utilisation d'un profil SCEP pour envoyer des certificats client sur des terminaux, à la page 66
Envoi du même certificat client à plusieurs terminaux, à la page 69
95
afin d'ajouter plus
Configuration des profilsCardDAVetCalDAVpour
les terminauxiOS etOS X devices
Vous pouvez utiliser les profilsCardDAVetCalDAVpour permettre aux terminauxiOS etOS X d'accéder aux informations de
contact et de calendrier sur un serveur distant. Vous pouvez attribuer des profilsCardDAVetCalDAVà des comptes d'utilisateur,
groupes d'utilisateurs ou groupes de terminaux. Plusieurs terminaux peuvent accéder à la même information.
OS X applique des profils à des comptes d'utilisateurs ou terminaux. Les profils CardDAV et CalDAV sont appliqués aux comptes
d'utilisateurs.
Créer un profil CardDAV
Avant de commencer:
•
Vérifiez que le terminal peut accéder à un serveur CardDAV actif.
1.
2.
Cliquez sur
3.
4.
Tapez l'adresse du serveur pour le profil. C'est le FQDN de l'ordinateur qui héberge l'application Calendrier.
5.
en regard du profil CardDAV.
•
•
6.
Si nécessaire, entrez le port utilisé pour le serveur CardDAV.
7.
Si nécessaire, sélectionnez la case Utiliser SSL et entrez l'URL du serveur SSL.
8.
À la fin: attribuez le profil aux utilisateurs, aux groupes d'utilisateurs ou aux groupes de terminaux.
Créer un profil CalDAV
Avant de commencer:
•
Vérifiez que le terminal peut accéder à un serveur CalDAV actif.
96
1.
2.
Cliquez sur
3.
4.
Tapez l'adresse du serveur pour le profil. C'est le FQDN de l'ordinateur qui héberge l'application Calendrier.
5.
en regard du profil CalDAV.
•
•
6.
Si nécessaire, entrez le port utilisé pour le serveur CalDAV.
7.
Si nécessaire, sélectionnez la case Utiliser SSL et entrez l'URL du serveur SSL.
8.
À la fin: Attribuez le profil aux utilisateurs, aux groupes d'utilisateurs ou aux groupes de terminaux.
Configuration de la fonction Enterprise Data
Protection pour les terminaux Windows 10
Vous pouvez configurer la fonction Enterprise Data Protection (EDP, protection des données d'entreprise) pour les terminaux
Windows 10 lorsque vous souhaitez effectuer les opérations suivantes :
•
Séparer les données personnelles et professionnelles sur les terminaux et être en mesure d'effacer uniquement les
•
Empêcher les utilisateurs de partager les données professionnelles en dehors des applications professionnelles
protégées ou avec des personnes extérieures à votre organisation
•
Protéger les données même si elles sont déplacées ou partagées sur d'autres terminaux, tels qu'une clé USB
•
Surveiller le comportement de l'utilisateur et prendre les mesures appropriées pour éviter toute fuite de données
Lorsque vous configurez la fonction Enterprise Data Protection pour les terminaux, vous spécifiez les applications que vous
souhaitez protéger avec EDP. Les applications protégées sont en mesure de créer des fichiers professionnels et d'y accéder,
tandis qu'il est possible de bloquer l'accès des applications non protégées aux fichiers professionnels. Vous pouvez choisir le
niveau de protection pour les applications protégées en fonction de la manière dont vous souhaitez que les utilisateurs se
comportent lorsqu'ils partagent des données professionnelles. Lorsque la fonction EDP est activée, toutes les pratiques de
partage des données sont surveillées. Pour plus d'informations sur la fonction EDP, rendez-vous sur le site https://
technet.microsoft.com/en-us/itpro/windows/keep-secure/protect-enterprise-data-using-edp.
97
Les applications que vous spécifiez peuvent être compatibles ou non. Les applications compatibles peuvent créer des données
professionnelles et personnelles, mais aussi y accéder. Les applications non compatibles peuvent uniquement créer des
données professionnelles et y accéder. Pour plus d'informations sur les applications compatibles et non compatibles, rendezvous sur le site https://technet.microsoft.com/en-us/itpro/windows/keep-secure/enlightened-microsoft-apps-and-edp.
Créer un profil Enterprise Data Protection
1.
2.
Cliquez sur
3.
4.
Dans le champ Paramètres Enterprise Data Protection, sélectionnez l'un des niveaux de protection suivants :
en regard de Enterprise Data Protection.
•
O
•
Silencieux
•
Remplacer
•
Bloquer
5.
Dans le champ Noms de domaines d'entreprise protégés, saisissez les noms de domaines professionnels. Séparez
plusieurs domaines par une barre verticale (« | »).
6.
Le cas échéant, sélectionnez Autoriser l'utilisateur à décrypter les données.
7.
Le cas échéant, sélectionnez Appliquer la protection sous la configuration de verrouillage.
8.
Dans le champ Fichier de certificat de récupération des données (.der, .cer), cliquez sur Parcourir, puis sélectionnez un
fichier de certificat de récupération des données.
9.
Le cas échéant, sélectionnez Supprimer les paramètres Enterprise Data Protection lorsqu'un terminal est supprimé de
BES12.
10. Le cas échéant, sélectionnez Afficher le recouvrement d'icônes Entreprise Data Protection sur les fichiers et
applications protégés autorisés à créer du contenu d'entreprise.
11. Le cas échéant, dans le champ Portée IP du réseau professionnel, spécifiez une liste d'adresses IP professionnelles.
Utilisez un tiret (« - ») pour indiquer une plage et une virgule (« , ») pour séparer les adresses.
12. Dans le champ Code de charge utile des applications de bureau, spécifiez les applications de bureau qui sont autorisées
ou non à accéder aux données protégées par EDP.
13. Dans le champ Code de charge utile des applications de la plateforme Windows universelle, spécifiez les applications
qui sont autorisées ou non à accéder aux données protégées par EDP.
98
Utilisation de BlackBerry Secure Connect Plus
pour des connexions sécurisées aux ressources
professionnelles
BlackBerry Secure Connect Plusest un composantBES12qui fournit un tunnel IP sécurisé entre des applications et un réseau
d'entreprise :
•
Pour les terminaux BlackBerry 10, Samsung KNOX Workspace et Android for Work, toutes les applications de l'espace
Travail utilisent le tunnel sécurisé.
•
Pour les terminaux iOS, vous pouvez autoriser toutes les applications à utiliser le tunnel ou spécifier des applications
utilisant un VPN par application.
Ce tunnel permet aux utilisateurs d'accéder à des ressources professionnelles derrière le pare-feu de l'entreprise tout en
assurant la sécurité des données à l'aide des protocoles standard et du cryptage de bout en bout.
BlackBerry Secure Connect Plus et un terminal pris en charge établissent un tunnel IP sécurisé s'il s'agit de la meilleure option
disponible à des fins de connexion au réseau de l'entreprise. Si un terminal se voit attribuer un profil Wi-Fi ou un profil VPN et
que le terminal peut accéder au réseau Wi-Fi professionnel ou VPN, il utilise ces méthodes pour se connecter au réseau. Si ces
options ne sont pas disponibles (par exemple, si l'utilisateur est hors de portée du réseau Wi-Fi professionnel), BlackBerry
Secure Connect Plus et le terminal établissent un tunnel IP sécurisé.
Pour les terminauxiOS, si vous configurez un VPN par application pourBlackBerry Secure Connect Plus, les applications
configurées utilisent toujours un tunnel sécurisé viaBlackBerry Secure Connect Plus, même si l'application peut se connecter
au réseauWi-Fiprofessionnel ou au VPN spécifié dans un profilWi-Fiou VPN.
Les terminaux pris en charge communiquent avec BES12 pour établir le tunnel sécurisé via BlackBerry Infrastructure. Un
tunnel est établi pour chaque terminal. Le tunnel prend en charge les protocoles IPv4 standard (TCP et UDP). Tant que le tunnel
est ouvert, les applications peuvent accéder aux ressources du réseau. Lorsque le tunnel n'est plus requis (si, par exemple,
l'utilisateur est à portée du réseau Wi-Fi professionnel), il prend fin.
BlackBerry Secure Connect Plus offre les avantages suivants :
•
Le trafic IP acheminé entre les terminaux et BES12 est crypté de bout en bout à l'aide de l'AES256, ce qui garantit la
sécurité des données professionnelles.
•
BlackBerry Secure Connect Plus fournit une connexion fiable et sécurisée aux ressources professionnelles lorsqu'un
utilisateur de terminal ne peut pas accéder au réseau Wi-Fi professionnel ou VPN.
•
BlackBerry Secure Connect Plus est installé derrière le pare-feu de votre entreprise, de sorte que les données
transitent via une zone de confiance qui suit les normes de sécurité de votre entreprise.
Pour plus d'informations sur la méthode utilisée par BlackBerry Secure Connect Plus pour transférer des données depuis et
vers les terminaux, reportez-vous au contenu relatif à l'architecture.
99
Étapes à suivre pour activer BlackBerry Secure Connect Plus
Pour activer BlackBerry Secure Connect Plus, procédez comme suit :
Étape
Action
Vérifiez que le domaine BES12 de votre entreprise répond aux conditions d'utilisation de BlackBerry
Secure Connect Plus .
Installez BlackBerry Connectivity Node ou mettez à niveau BlackBerry Connectivity Node avec la
dernière version.
Activez BlackBerry Secure Connect Plus dans le profil de connectivité d'entreprise par défaut ou dans un
profil personnalisé que vous créez.
Vous pouvez également spécifier les paramètres DNS pour l'application BES12 Secure Connect Plus .
Attribuez le profil de connectivité d'entreprise aux utilisateurs et groupes.
Exigences liées au serveur et au terminal
Pour utiliser BlackBerry Secure Connect Plus, l'environnement de votre entreprise doit répondre aux exigences ci-dessous.
Pour le domaine BES12 :
•
Le pare-feu de votre entreprise doit autoriser les connexions sortantes sur le port 3101 vers
<région>.turnb.bbsecure.com et <région>.bbsecure.com. Si vous configurez BES12 pour qu'il utilise un serveur
proxy, vérifiez que ce serveur proxy autorise les connexions sur le port 3101 vers ces sous-domaines. Pour connaitre
les domaines et les adresses IP à utiliser dans votre configuration de pare-feu, rendez-vous sur le site http://
support.blackberry.com/kb et lisez l'article KB36470.
•
Le composant BlackBerry Secure Connect Plus doit être en cours d'exécution.
•
Par défaut, les terminaux Android for Work ne sont pas autorisés à utiliser BlackBerry Secure Connect Plus pour se
connecter à Google Play et aux services sous-jacents (com.android.providers.media, com.android.vending et
com.google.android.apps.gcs). Google Play ne prend pas en charge le proxy. Les terminaux Android for Work utilisent
une connexion directe via Internet à Google Play.
Vérifiez que ces restrictions sont configurées dans le profil de connectivité d'entreprise par défaut ou dans les
nouveaux profils de connectivité d'entreprise personnalisés que vous créez. Il est recommandé de maintenir ces
restrictions. Si vous supprimez l'une de ces restrictions, vous devez contacter l'assistance Google Play afin de vous
renseigner au sujet de la configuration de pare-feu obligatoire pour autoriser les connexions à Google Play à l'aide de
BlackBerry Secure Connect Plus.
100
Pour les terminaux pris en charge :
Terminal
BlackBerry 10
Samsung KNOX Workspace
Android for Work
iOS
Configuration requise
•
BlackBerry 10Système d'exploitation version 10.3.2 ou ultérieure
•
L'un des types d'activation suivants :
◦
Travail et Personnel - Entreprise
◦
◦
Travail et Personnel - Régulé
•
Android version 5.0 ou ultérieure
•
Samsung KNOX MDM version 5.0 ou ultérieure
•
Samsung KNOX version 2.3 ou ultérieure
•
◦
Espace Travail uniquement (Samsung KNOX)
◦
Travail et Personnel - Contrôle total (Samsung KNOX)
◦
Travail et Personnel - Confidentialité de l'utilisateur (Samsung KNOX)
•
Android version 5.1 ou ultérieure
•
◦
◦
Travail et Personnel - Confidentialité de l'utilisateur (Android for Work Premium)
•
iOS version 9 ou ultérieure
•
Les terminaux doivent être activés à l'aide de l'application Good for BES12,
disponible à partir de App Store.
•
Type d'activation Contrôles MDM
Pour plus d'informations sur les licences requises pour utiliserBlackBerry Secure Connect Plus, consultez le contenu relatif aux
licences.
101
Activation et configuration de BlackBerry Secure Connect Plus
Lorsque vous installez BlackBerry Connectivity Node pour établir une connexion sécurisée avec les ressources de votre
entreprise (par exemple, Microsoft Active Directory), vous installez également le composant BlackBerry Secure Connect Plus.
Une fois que vous avez installé et activé BlackBerry Connectivity Node, vous pouvez activer BlackBerry Secure Connect Plus à
l'aide d'un profil de connectivité d'entreprise.
Remarque: si vous utilisez un profil de messagerie pour activer BlackBerry Secure Gateway Service pour les terminaux iOS avec
des activations de contrôles MDM, il est recommandé de configurer un VPN par application pour BlackBerry Secure Connect
Plus. Pour plus d'informations sur BlackBerry Secure Gateway Service, reportez-vous à iOS : paramètres de profil de
messagerie.
Installation ou mise à niveau du composant BlackBerry Secure Connect Plus
Lorsque vous installez BlackBerry Connectivity Node, le processus d'installation installe également le composant BlackBerry
Secure Connect Plus sur le même ordinateur. Si vous mettez à niveau BlackBerry Connectivity Node vers la version la plus
récente et que BlackBerry Secure Connect Plus n'est pas installé, le processus de mise à niveau installe BlackBerry Secure
Connect Plus. Si BlackBerry Secure Connect Plus a été installé précédemment, le processus met BlackBerry Secure Connect
Plus à niveau vers la dernière version.
Pour obtenir des instructions sur l'installation ou la mise à niveau de BlackBerry Connectivity Node, reportez-vous à la section
« Installation et mise à niveau de BlackBerry Connectivity Node » dans le contenu relatif à la configuration. Vous devez activer
BlackBerry Connectivity Node avant de pouvoir activer BlackBerry Secure Connect Plus.
Vous avez la possibilité d'acheminer les données entre BlackBerry Secure Connect Plus et BlackBerry Infrastructure via
BlackBerry Router ou un serveur proxy TCP (transparent ou SOCKS v5). Utilisez la console de gestion BlackBerry Connectivity
Node (Paramètres généraux > Proxy) pour configurer les paramètres de proxy.
Remarque: Si vous spécifiez des informations de proxy non valides, BlackBerry Secure Connect Plus s'arrête et ne peut pas
redémarrer. Si ce problème se produit, corrigez les informations de proxy et redémarrez le service BES12 - BlackBerry Secure
Connect Plus dans les services Windows.
Équilibrage des charges et haute disponibilité pour BlackBerry Secure Connect Plus
Si vous installez une deuxième instance de BlackBerry Connectivity Node pour la redondance, l'application d'installation
installe une deuxième instance de BlackBerry Secure Connect Plus. Les deux instances de BlackBerry Secure Connect Plus
sont exécutées et traitent les données. La charge de données est équilibrée entre les deux instances.
Un basculement de haute disponibilité est disponible pour les terminaux BlackBerry 10, Samsung KNOX Workspace, Android
for Work et iOS. Si un terminal utilise un tunnel sécurisé et que le composant BlackBerry Secure Connect Plus actuel devient
indisponible, BlackBerry Infrastructure attribue le terminal à l'autre instance. Le terminal utilise à nouveau le tunnel sécurisé
sans interruption majeure.
102
Activer BlackBerry Secure Connect Plus
Si vous souhaitez autoriser des terminaux à utiliser BlackBerry Secure Connect Plus, vous devez activer BlackBerry Secure
Connect Plus dans un profil de connectivité d'entreprise et attribuer ce profil aux utilisateurs et aux groupes. Par défaut,
BlackBerry Secure Connect Plus n'est pas activé pour BlackBerry 10 ni pour les terminaux Android et iOS pris en charge. Vous
pouvez effectuer l'une des actions suivantes :
•
Activer BlackBerry Secure Connect Plus pour les types de terminaux pris en charge dans le profil de connectivité
d'entreprise par défaut. Si aucun profil de connectivité d'entreprise personnalisé n'est attribué, directement ou par
appartenance aux groupes, à un compte d'utilisateur, BES12 attribue le profil par défaut.
•
Créez un profil de connectivité d'entreprise personnalisé à l'aide des instructions suivantes et attribuez-le aux
utilisateurs et aux groupes.
Une fois le profil de connectivité d'entreprise appliqué au terminal après activation, BES12 envoie au terminal les profils SCEP
et VPN requis pour utiliser BlackBerry Secure Connect Plus. BES12 installe également l'application BES12 Secure Connect
Plus sur le terminal (pour les terminaux Android for Work, l'application est automatiquement installée à partir de Google Play.
Pour les terminaux iOS, l'application est automatiquement installée à partir de App Store). Sur les terminaux BlackBerry 10,
l'application est masquée et ne requiert aucune interaction de l'utilisateur.
1.
Sur la barre de menus de la console de gestion, cliquez sur Stratégies et profils.
2.
Cliquez sur
3.
en regard de Connectivité d'entreprise.
Tâche
Étapes
Activer pour les terminaux
BlackBerry 10
1.
Dans l'onglet BlackBerry, cochez la case Activer BlackBerry Secure Connect
Plus.
2.
Si vous souhaitez acheminer le trafic du tunnel sécurisé depuis les terminaux
BlackBerry 10 au réseau d'entreprise via un serveur proxy, sélectionnez le profil
de proxy qui convient dans la liste déroulante Profil de proxy.
1.
Dans l'onglet Android, cochez la case Activer BlackBerry Secure Connect Plus.
2.
Si vous souhaitez acheminer le trafic du tunnel sécurisé depuis les terminaux
exécutant Samsung KNOX version 2.5 ou ultérieure au réseau d'entreprise via
un serveur proxy, sélectionnez le profil de proxy qui convient dans la liste
déroulante Profil de proxy.
Pour les terminaux Android pris
en charge :
Remarque: Le paramètre de profil proxy ne s'applique pas aux terminaux
Android for Work ni aux terminaux exécutant Samsung KNOX version 2.4 ou
antérieure.
3.
Si vous souhaitez restreindre une application d'espace de travail spécifique sur
les terminaux Android for Work en l'empêchant d'utiliser BlackBerry Secure
103
Tâche
Étapes
Connect Plus, accédez à la section Connectivité d'entreprise pour le conteneur
Android for Work et cliquez sur , puis saisissez l'identifiant de package de
l'application. Si nécessaire, répétez l'opération pour restreindre d'autres
applications.
Remarque: Par défaut, Google Play et les services sous-jacents
(com.android.providers.media, com.android.vending et
com.google.android.apps.gcs) sont restreints, puisque Google Play ne dispose
pas d'une prise en charge de proxy. Il est recommandé de maintenir ces
restrictions. Si vous supprimez l'une de ces restrictions, vous devez contacter
l'assistance Google Play pour la configuration de pare-feu requise pour autoriser
les connexions à Google Play à l'aide de BlackBerry Secure Connect Plus.
Activer pour les terminaux iOS
1.
Dans l'onglet iOS, cochez la case Activer BlackBerry Secure Connect Plus.
2.
Si vous souhaitez configurer un VPN par application, de sorte que seules
quelques applications spécifiques soient autorisées à utiliser BlackBerry Secure
Connect Plus, cochez la case Activer un VPN par application. Pour spécifier les
domaines autorisés à démarrer une connexion VPN dans Safari, cliquez sur
Si vous voulez que les applications puissent démarrer automatiquement la
connexion VPN, cochez la case Autoriser la connexion automatique des
applications.
3.
.
Si vous souhaitez autoriser toutes les applications à utiliser BlackBerry Secure
Connect Plus, décochez la case Activer un VPN par application.
Remarque: Si vous sélectionnez cette option, les utilisateurs doivent activer
manuellement la connexion VPN sur leur terminal pour pouvoir utiliser
BlackBerry Secure Connect Plus. Tant que la connexion VPN est activée, le
terminal utilise BlackBerry Secure Connect Plus pour se connecter au réseau
d'entreprise. L'utilisateur doit désactiver la connexion VPN pour utiliser une
autre connexion, telle que le réseau Wi-Fi de l'entreprise. Indiquez aux
utilisateurs à quel moment il est approprié d'activer et de désactiver la
connexion VPN (par exemple, vous pouvez leur demander d'activer la connexion
VPN lorsqu'ils sont hors de portée du réseau Wi-Fi de l'entreprise).
4.
Si vous souhaitez spécifier des règles pour les connexions BlackBerry Secure
Connect Plus, cliquez sur Activer VPN à la demande et indiquez les domaines
ou noms d'hôte, actions à la demande et règles à la demande appropriés. Pour
plus d'informations sur ces paramètres, consultez : paramètres de profil
VPNiOSOS X.
104
Tâche
Étapes
Remarque: Si vous autorisez tous les applications installées sur les terminaux
iOS à utiliser BlackBerry Secure Connect Plus, évitez d'ajouter des règles à la
demande comme Connect, qui tentent de créer une connexion VPN toujours
activée. Si vous ajoutez ce genre de règles, le terminal peut tenter d'établir une
connexion VPN pendant le processus d'activation avant de recevoir les profils et
certificats nécessaires de BES12. Il ne pourra alors pas se connecter et
l'utilisateur devra basculer la connexion VPN pour résoudre le problème. Il est
recommandé d'utiliser plutôt des règles à la demande comme
EvaluateConnection, qui permettent au terminal de recevoir les profils et
certificats requis avant de tenter d'établir une connexion VPN aux domaines
spécifiés.
Actuellement, la spécification d'un profil de proxy dans l'onglet iOS ne s’applique pas à BlackBerry Secure Connect Plus.
4.
5.
Attribuez le profil aux groupes ou comptes d'utilisateur.
6.
Si vous avez configuré un VPN par application pour les terminaux iOS, procédez comme suit lorsque vous attribuez une
application ou un groupe d'applications : associez cette application ou ce groupe d'applications au profil de connectivité
d'entreprise qui convient.
Sur les terminaux Samsung KNOX Workspace et Android for Work, l'application BES12 Secure Connect Plus invite les
utilisateurs à l'autoriser à s'exécuter en tant que VPN et à autoriser l'accès aux clés privées du terminal. Demandez aux
utilisateurs d'accepter ces demandes. Les utilisateurs de terminaux Samsung KNOX Workspace, Android for Work et iOS
peuvent ouvrir l'application pour afficher l'état de la connexion. Aucune action supplémentaire n'est requise de la part des
utilisateurs.
À la fin:
•
Si vous créez plusieurs profils de connectivité d'entreprise, classez-les.
•
Si vous dépannez un problème de connexion sur un terminal KNOX Workspace, Android for Work ou iOS, l'application
autorise l'utilisateur à envoyer les journaux du terminal à l'adresse électronique d'un administrateur (l'utilisateur saisit
une adresse électronique que vous devez fournir). Notez que les journaux ne sont pas visibles à l'aide de Winzip. Il est
recommandé d'utiliser un autre utilitaire, par exemple 7-Zip.
Spécifier les paramètres DNS pour l'application BES12 Secure Connect Plus
Vous pouvez spécifier les serveurs DNS que l'application BES12 Secure Connect Plus doit utiliser pour les connexions de tunnel
sécurisées. Vous pouvez également spécifier des suffixes de recherche DNS. Si vous ne spécifiez pas de paramètres DNS,
l'application récupère les adresses DNS depuis l'ordinateur qui héberge le composant BlackBerry Secure Connect Plus et le
suffixe de recherche par défaut correspond au domaine DNS de cet ordinateur.
105
1.
Dans la console BlackBerry Connectivity Node (http:/localhost:8088), cliquez sur Paramètres généraux > BlackBerry
Secure Connect Plus dans le volet gauche.
2.
Cochez la case Configurer manuellement les serveurs DNS et cliquez sur
3.
Saisissez l'adresse du serveur DNS secondaire au format décimal séparé par des points (par exemple 192.0.2.0). Cliquez
sur Ajouter.
4.
Si nécessaire, répétez les étapes 2 et 3 pour ajouter d'autres serveurs DNS. Dans le tableau Serveurs DNS, cliquez sur les
flèches de la colonne Classement pour définir la priorité des serveurs DNS.
5.
Si vous souhaitez spécifier des suffixes de recherche DNS, procédez comme suit :
.
a.
Cochez la case Gérer manuellement les suffixes de recherche DNS et cliquez sur
b.
Saisissez le suffixe de recherche DNS (par exemple, domaine.com). Cliquez sur Ajouter.
.
6.
Si nécessaire, répétez l'étape 5 pour ajouter d'autres suffixes de recherche DNS. Dans le tableau Suffixe de recherche
DNS, cliquez sur les flèches de la colonne Classement pour définir la priorité des serveurs DNS.
7.
Diriger le trafic de l'espace Travail BlackBerry 10 via BlackBerry Secure Connect Plus
lorsqu'un réseau Wi-Fi est disponible
Si vous utilisez BES12 pour configurer un profil Wi-Fi et l'attribuer aux terminaux BlackBerry 10, les terminaux hiérarchisent le
réseau Wi-Fi professionnel au-dessus de BlackBerry Secure Connect Plus. Si le réseau Wi-Fi professionnel n'est pas disponible
et qu'aucun profil VPN n'a été attribué aux terminaux ou qu'ils ne peuvent pas accéder au VPN, les terminaux utilisent
BlackBerry Secure Connect Plus. Vous avez la possibilité de diriger tout le trafic de l'espace Travail via BlackBerry Secure
Connect Plus même lorsque les terminaux peuvent accéder au réseau Wi-Fi professionnel. Vous pouvez choisir d'utiliser cette
option si les normes de sécurité de votre entreprise empêchent les connexions des terminaux aux ressources professionnelles
via le réseau Wi-Fi.
Remarque: L'activation de cette fonctionnalité dirige tout le trafic de l'espace Travail qui utilise normalement le réseau Wi-Fi
professionnel via une connexion sécurisé à BlackBerry Infrastructure. Cette fonctionnalité peut avoir une incidence sur
l'utilisation des données de votre entreprise et les frais de réseau. Vérifier qu'il s'agit de la configuration privilégiée par votre
entreprise avant d'activer cette fonctionnalité.
1.
2.
Dans le volet de gauche, développez Wi-Fi et cliquez sur le profil Wi-Fi attribué aux utilisateurs de terminaux BlackBerry
10.
3.
Cliquez sur
4.
Sur l'onglet BlackBerry, dans la section Profils associés, cochez la case Utiliser un profil de connectivité d'entreprise
avec connexion BlackBerry Secure Connect Plus pour les données professionnelles.
5.
.
À la fin: si vous avez créé et attribué plusieurs profils Wi-Fi, répétez cette tâche, si nécessaire.
106
Résolution des problèmesBlackBerry Secure Connect Plus
L'adaptateur BlackBerry Secure Connect Plus passe à un état « Réseau non identifié » et
cesse de fonctionner.
Cause
Ce problème peut survenir si vous redémarrez l'ordinateur qui héberge BlackBerry Secure Connect Plus.
Solution - Windows Server 2008 R2 et Windows Server 2008 R2 SP1
1.
Dans le Gestionnaire de serveur, développez Rôles > Stratégie réseau et services d'accès. Cliquez avec le bouton droit
sur Accès à distance et routage et cliquez sur Désactiver le routage et l'accès à distance.
2.
Cliquez avec le bouton droit sur Accès à distance et routage et cliquez sur Configurer et activer l'accès à distance et le
routage.
3.
Exécutez l'Assistant de configuration en sélectionnant les options suivantes :
a
Sur l'écran Configuration, sélectionnez Network Address Translation (NAT).
b
Sur l'écran Connexion Internet NAT, sélectionnez Utiliser cette interface publique pour se connecter à Internet.
Vérifiez que BlackBerry Secure Connect Plus s'affiche dans la liste des interfaces réseau.
4.
Développez Rôles > Stratégie réseau et services d'accès > Accès à distance et routage > IPv4 et cliquez sur NAT.
Ouvrez les propriétés de connexion au réseau local et sélectionnez Interface publique connectée à Internet et Activer
NAT sur cette interface. Cliquez sur OK.
5.
Ouvrez les propriétés BlackBerry Secure Connect Plus et sélectionnez Interface privée connectée au réseau privé.
Cliquez sur OK.
6.
Cliquez avec le bouton droit sur Accès à distance et routage, puis sur Toutes les tâches > Redémarrer.
7.
Dans les services Windows Windows, redémarrez le service BES12 – BlackBerry Secure Connect Plus.
Dans Connexions réseau, il peut s'écouler quelques minutes avant que l'adaptateur BlackBerry Secure Connect Plusaffiche
une connexion réussie.
Téléchargez et installez le correctif de l'article KB Windows Échec de la fonctionnalité NAT sur un serveur RRAS basé sur
Windows Server 2008 R2 SP1.
Solution - Windows Server 2012
1.
Dans le Gestionnaire de serveur, cliquez sur Gérer > Ajouter des rôles et des fonctionnalités. Cliquez sur Suivant jusqu'à
accéder à l'écran Fonctionnalités. Développez Outils d'administration de serveur distant > Outils d'administration de
rôles et sélectionnez Outils de gestion des accès distants. Exécutez l'Assistant pour installer les outils.
2.
Cliquez sur Outils > Gestion des accès distants.
107
3.
Sous Configuration, cliquez sur DirectAccess et VPN .
4.
Sous VPN , cliquez sur Ouvrir la gestion RRAS .
5.
Cliquez avec le bouton droit sur Routage et Serveur d'accès à distance, puis cliquez sur Désactiver le routage et l'accès à
distance.
6.
Cliquez avec le bouton droit sur Routage et Serveur d'accès à distance, puis cliquez sur Configurer et activer l'accès à
distance et le routage.
7.
Exécutez l'Assistant de configuration en sélectionnant les options suivantes :
a
Sur l'écran Configuration, sélectionnez Network Address Translation (NAT).
b
Sur l'écran Connexion Internet NAT, sélectionnez Utiliser cette interface publique pour se connecter à Internet.
Vérifiez que BlackBerry Secure Connect Plus s'affiche dans la liste des interfaces réseau.
8.
Développez Rôles > Stratégie réseau et services d'accès > Accès à distance et routage > IPv4 et cliquez sur NAT.
Ouvrez les propriétés de connexion au réseau local et sélectionnez Interface publique connectée à Internet et Activer
NAT sur cette interface. Cliquez sur OK.
9.
Ouvrez les propriétés BlackBerry Secure Connect Plus et sélectionnez Interface privée connectée au réseau privé.
Cliquez sur OK.
10. Cliquez avec le bouton droit sur Routage et serveur d'accès à distance, puis sur Toutes les tâches > Redémarrer.
11. Dans les services Windows Windows, redémarrez le service BES12 – BlackBerry Secure Connect Plus.
Téléchargez et installez le correctif de l'article KB Windows Échec de la fonctionnalité NAT sur un serveur RRAS basé sur
Windows Server 2012.
BlackBerry Secure Connect Plus ne démarre pas.
Cause possible
Les paramètres TCP/IPv4 pour l'adaptateur BlackBerry Secure Connect Plus sont peut-être incorrects.
Solution possible
DansConnexions réseau > Adaptateur BlackBerry Secure Connect Plus > Propriétés > Protocole IPv4 (TCP/IPv4) >
Propriétés, vérifiez que la caseUtiliser l'adresse IP suivanteest cochée, avec les valeurs par défaut suivantes
•
Adresse IP : 172.16.0.1
•
Masque de sous-réseau : 255.255.0.0
Si nécessaire, corrigez ces paramètres, puis redémarrez le serveur.
Afficher les fichiers journaux pour BlackBerry Secure Connect Plus
Deux fichiers journaux, situés par défaut à l'emplacement <lecteur>:\Program Files\BlackBerry\BES\Logs\<aaaammjj>,
enregistrent les données concernant BlackBerry Secure Connect Plus :
108
•
BSCP : consigne les données sur le composant serveur BlackBerry Secure Connect Plus
•
BSCP-TS : consigne les données de connexion avec l'application BES12 Secure Connect Plus
Objectif
Fichier
journal
Exemple
Vérifier queBlackBerry Secure BSCP
Connect Plus est connecté à
BlackBerry Infrastructure
2015-01-19T13:17:47.540-0500 - BSCP {TcpClientConnectorNio#2}
logging.feature.bscp.service|logging.component.bscp.pss.bcp [{}] - DEBUG
Received Ping from [id: 0x60bce5a3, /10.90.84.22:28231 =>
stratos.bcp.bblabs.rim.net/206.53.155.152:3101], responding with Pong.
2015-01-19T13:18:22.989-0500 - BSCP {ChannelPinger#1}
logging.feature.bscp.service|logging.component.bscp.pss.bcp [{}] - DEBUG
Sending Ping to [id: 0xb4a1677a, /10.90.84.22:28232 =>
stratos.bcp.bblabs.rim.net/206.53.155.152:3101]
Vérifier que BlackBerry
Secure Connect Plus est prêt
à recevoir des appels depuis
l'application BES12 Secure
Connect Plus sur les
terminaux
BSCP-TS
47: [14:13:21.231312][][3][AsioTurnSocket-1] Connected,
host=68-171-243-141.rdns.blackberry.net
Vérifier que les terminaux
utilisent le tunnel sécurisé
BSCP-TS
48: [14:13:21.239312][][3][AsioTurnSocket-1] Creating TURN allocation
49: [14:13:21.405121][][3][AsioTurnSocket-1] TURN allocation created
74: [10:39:45.746926][][3][Tunnel-2FFEC51E] Sent: 2130.6 KB (1733),
Received: 201.9 KB (1370), Running: 00:07:00.139249
109
Normes relatives aux terminaux
8
Vous pouvez utiliser des profils pour appliquer certaines normes aux terminaux de votre organisation. Différents profils prennent
en charge des configurations spécifiques telles que les règles de conformité, les limites de contenu Web ou les limites des
applications. Vous pouvez spécifier les paramètres des terminaux BlackBerry 10, iOS, Android et Windows dans le même profil,
puis attribuez le profil à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux.
Étapes à suivre pour configurer les normes de
votre organisation pour les terminaux
Pour configurer les normes de votre organisation pour les terminaux, procédez comme suit :
Étape
Action
Créez des profils pour appliquer certaines normes aux terminaux. Par exemple, créez un profil de
conformité, un profil de contenu Web ou un profil de notification d'entreprise.
Attribuez les profils aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux.
Gestion des normes relatives aux terminaux à
l'aide de profils
Vous pouvez gérer certaines normes relatives aux terminaux à l'aide des profils suivants disponibles dans la bibliothèque des
stratégies et des profils.
Profil
Description
Mode de verrouillage des applications
Un profil de mode de verrouillage des applications configure les terminaux iOS
supervisés et les terminaux gérés avec KNOXMDM pour exécuter une seule
110
Profil
Description
application (pour les formations ou les démonstrations en points de vente, par
exemple).
Conformité
Un profil de conformité définit les conditions des terminaux non acceptables dans
votre organisation ainsi que les actions d'application.
BES12 inclut un profil de conformité par défaut.
Terminal
Un profil de terminal vous permet de configurer les informations qui s'affichent sur
les terminaux.
Configuration logicielle minimale requise Un profil d'exigences SR des terminaux définit les versions du logiciel dont les
du terminal
terminaux BlackBerry 10 doivent disposer.
Service de localisation
Un profil de service de localisation vous permet de demander l'emplacement de
terminaux et d'afficher l'emplacement approximatif sur une carte.
Domaines gérés
Un profil de domaines gérés configure les terminaux iOS 8 afin de notifier aux
utilisateurs l'envoi d'e-mails en dehors des domaines approuvés et limite les
applications pouvant afficher des documents téléchargés à partir de domaines
internes.
Utilisation du réseau
Un profil d'utilisation de réseau vous permet de contrôler si les applications
professionnelles sur les terminaux exécutant iOS 9 ou ultérieure peuvent utiliser le
réseau mobile ou l'itinérance des données.
Filtre de contenu Web
Un profil de filtre de contenu Web limite les profils de filtre de contenu Web qu'un
utilisateur peut consulter sur des terminaux iOS supervisés.
Icône Web
Un profil d'icône Web vous permet de créer une icône Web personnalisée à afficher
sur les terminauxiOS etOS X.
Application des règles de conformité aux
terminaux
Vous pouvez utiliser des profils de conformité pour encourager les utilisateurs de terminaux à respecter les normes de votre
organisation en matière d'utilisation des terminaux BlackBerry 10, iOS, Android et Windows Phone. Un profil de conformité
définit les conditions des terminaux non acceptables dans votre organisation. Par exemple, vous pouvez choisir d'interdire les
terminaux « crackés » ou « flashés » ou de déclencher une alerte d'intégrité en cas d'accès non autorisé au système
d'exploitation.
111
Un profil de conformité spécifie les informations suivantes :
•
Les conditions affectant la conformité d'un terminal BES12
•
Les notifications reçues par les utilisateurs s'ils violent les conditions de conformité ainsi que le délai dont ils
disposent pour corriger le problème
•
Les notifications reçues par les utilisateurs s'ils installent des applications limitées ainsi que le délai dont ils disposent
pour corriger le problème
•
Action prise si l'utilisateur ne corrige pas le problème, notamment : restriction d'accès de l'utilisateur aux ressources
de l'entreprise, suppression des données professionnelles du terminal ou suppression de toutes les données du
terminal
Pour les terminaux Samsung KNOX, vous pouvez ajouter une liste d'applications limitées à un profil de conformité. Toutefois,
BES12 ne fait pas appliquer les règles de conformité. Au lieu de cela, la liste des applications limitées est envoyée aux
terminaux et le terminal applique la conformité. Les applications limitées ne peuvent pas être installées ou si elles sont déjà
installées, elles sont désactivées. Lorsque vous supprimez une application de la liste limitée, l'application est réactivée si elle
est déjà installée.
BES12 inclut un profil de conformité par défaut. Par défaut, le profil de conformité par défaut n'applique aucune condition de
conformité. Pour appliquer les règles de conformité, vous pouvez modifier les paramètres du profil de conformité par défaut ou
créer et attribuer des profils de conformité personnalisés. Les comptes d'utilisateur ne présentant pas de profil de conformité
personnalisé se voient attribuer le profil de conformité par défaut.
Créer un profil de conformité
Avant de commencer:
•
Si vous définissez des règles pour les applications limitées, ajoutez les applications nécessaires à la liste des
applications limitées. Pour plus d'informations, reportez-vous à Ajouter une application à la liste des applications
limitées.
•
Pour surveiller les applications dans les profils de conformité pour les terminaux Windows Phone, vous devez
télécharger un jeton d'inscription d'application (AET). Pour plus d'informations, reportez-vous à Télécharger un jeton
d'inscription d'application pour les terminaux Windows Phone .
•
Si vous souhaitez envoyer une notification par e-mail aux utilisateurs lorsque leurs terminaux ne sont pas conformes,
modifiez l'e-mail de conformité par défaut ou créez un nouveau modèle d'e-mail. Pour plus d'informations, reportezvous à Création d'un modèle pour les notifications d'e-mail de conformité.
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil de conformité.
4.
Si vous souhaitez envoyer un message de notification aux utilisateurs lorsque leurs terminaux ne sont plus conformes,
effectuez l'une des opérations suivantes :
en regard de Conformité.
112
•
Dans la liste déroulante E-mail envoyé lorsqu'une violation est détectée, sélectionnez un modèle d'email. Pour
afficher l'e-mail de conformité par défaut, cliquez sur Paramètres > Paramètres généraux > Modèles d'e-mail.
•
Développez la section Envoi d'une notification de terminal lorsqu'une violation est détectée. Modifiez l'e-mail,
si nécessaire.
Si vous souhaitez utiliser des variables pour renseigner les informations sur l'utilisateur, le terminal et la conformité dans
les notifications, reportez-vous à la section Variables. Vous pouvez également définir et utiliser vos propres variables
personnalisées via la console de gestion. Pour plus d'informations, reportez-vous à Variables personnalisées.
5.
Cliquez sur l'onglet correspondant au type de terminal qui convient et exécutez l'une des opérations suivantes :
•
Si vous souhaitez que les terminaux présentant une violation du système d'exploitation soient considérés
comme non conformes, cochez la case Alerte d'intégrité (BlackBerry 10), Système d'exploitation « cracké »
(iOS) ou Système d'exploitation « flashé » (Android).
•
Pour les terminaux BlackBerry 10 : si vous souhaitez que les terminaux utilisant une version limitée du logiciel
spécifiée dans un profil d'exigences SR soient considérés comme non conformes, sélectionnez Une version
limitée du logiciel est installée. Cette condition ne s'applique pas aux terminaux dotés du type d'activation
Travail et Personnel - Entreprise.
•
Si vous souhaitez que les terminaux qui exécutent la version restreinte d'un système d'exploitation soient
considérés comme non conformes, cochez la caseLa version restreinte d'un système d'exploitation est
installée. Cliquez surModifierpour sélectionner les versions de systèmes d'exploitation que vous souhaitez
restreindre, puis cliquez surEnregistrer.
•
Si vous souhaitez que les modèles de terminal restreints soient considérés comme non conformes, cochez la
caseUn modèle de terminal restreint est installé. Dans la liste déroulanteRestrictions de modèle de terminal,
indiquez si vous souhaitez créer une liste des éléments autorisés ou une liste des éléments restreints. Cliquez
surModifierpour sélectionner les modèles de terminal que vous souhaitez restreindre ou autoriser, puis cliquez
surEnregistrer.
•
Pour les terminaux iOS ou Android : si vous souhaitez que les terminaux contenant des applications non
attribuées soient considérés comme non conformes, cochez la case Une application non attribuée est
installée. Cette condition ne s'applique pas aux terminaux dotés du type d'activation Travail et Personnel Confidentialité de l'utilisateur.
•
Pour les terminaux iOS, Android et Windows Phone :
◦
si vous souhaitez que les terminaux ne disposant pas d'une application requise soient considérés
comme non conformes, cochez la case L'application requise n'est pas installée. Cette condition ne
s'applique pas aux terminaux dotés du type d'activation Travail et Personnel - Confidentialité de
l'utilisateur.
◦
Si vous souhaitez que les terminaux contenant une application restreinte soient considérés comme
non conformes, cochez la case Une application restreinte est installée et ajoutez les applications
restreintes au tableau. Cette condition ne s'applique pas aux terminaux dotés du type d'activation
Travail et Personnel - Confidentialité de l'utilisateur.
113
6.
•
Si vous souhaitez que les terminaux qui n'ont pas été en contact avecBES12pendant une période de temps
précise soient considérés comme non conformes, cochez la caseTerminal hors de portée.
•
Pour les terminaux Android version 6.0 ou ultérieure et PRIV version 5.1.1 ou ultérieure : si vous souhaitez que
les terminaux sans correctif de sécurité obligatoire soient considérés comme non conformes, cochez la case Le
niveau du correctif de sécurité est inférieur au niveau minimal, puis ajoutez les modèles de terminal et les
dates de correctif de sécurité au tableau. Les terminaux exécutant un correctif de sécurité de date équivalente
ou ultérieure aux dates de correctif de sécurité spécifiées sont considérés comme conformes.
Pour tous les terminaux, à l'exception des terminaux Android utilisant Samsung KNOX, et pour chaque condition que vous
sélectionnez l'étape 4, choisissez l'action que vous souhaitez que BES12 exécute lorsque le terminal d'un utilisateur n'est
pas conforme :
Action
Étapes
Automatiquement signaler à l'utilisateur que 1.
son terminal n'est pas conforme et exécuter
une action d'application si l'utilisateur ne
2.
corrige pas le problème.
Dans la liste déroulante Action d'application, cliquez sur Invite à la
conformité.
Dans la liste déroulante Méthode d'invite, cliquez sur le type de
message à envoyer à l'utilisateur.
3.
Dans le champ Nombre d'invites, saisissez le nombre de fois où le
message de notification est envoyé avant que BES12 exécute
l'action.
4.
Dans le champ Intervalle entre les invites et dans la liste
déroulante, spécifiez le délai entre les invites.
5.
Dans la liste déroulante Action à l'expiration de l'intervalle entre les
invites, sélectionnez l'action que BES12 doit effectuer lorsque la
période d'invites expire.
•
Si vous ne souhaitez pas recourir à une action
d'application, sélectionnez Aucune.
•
Pour empêcher l'utilisateur d'accéder aux ressources et
applications professionnelles du terminal, sélectionnez
Quarantaine (BlackBerry 10) ou Ne pas faire confiance
(iOS ou Android). Les données et les applications ne sont
pas supprimées du terminal.
•
Pour supprimer les données professionnelles du terminal,
sélectionnez Supprimer les données professionnelles
uniquement.
•
Pour supprimer toutes les données du terminal,
sélectionnez Supprimer toutes les données. Sur les
terminaux avec Travail et Personnel - Entreprise ou Travail
et Personnel - Confidentialité de l'utilisateur, seules les
données professionnelles sont supprimées.
114
Action
Étapes
Empêchez l'utilisateur d'accéder aux
ressources et applications professionnelles
du terminal. Les données et les applications
ne sont pas supprimées du terminal.
Dans la liste déroulante Action d'application, cliquez sur Quarantaine
(BlackBerry 10) ou Ne pas faire confiance (iOS ou Android).
Supprimez toutes les données
professionnelles du terminal.
Dans la liste déroulante Action d'application, cliquez sur Supprimer les
données professionnelles uniquement.
Supprimez toutes les données de mon
terminal. Sur les terminaux activés avec
Travail et Personnel - Entreprise ou Travail et
Personnel - Confidentialité de l'utilisateur,
seules les données professionnelles sont
supprimées.
Dans la liste déroulante Action d'application, cliquez sur Supprimer
toutes les données.
7.
Répétez les étapes 4 et 5 pour chaque type de terminal pour lequel que vous souhaitez configurer les conditions de
conformité.
8.
Ajouter une application à la liste des applications limitées, à la page 181
Télécharger un jeton d'inscription d'application pour les terminaux Windows Phone, à la page 167
Variables, à la page 55
Variables personnalisées, à la page 58
Création d'un modèle pour les notifications d'e-mail de
conformité
Vous pouvez créer plusieurs modèles d'e-mail, les personnaliser pour des types de terminal ou groupe d'utilisateurs spécifiques
et attribuer un modèle approprié à chaque compte d'utilisateur. Lorsque le terminal d'un utilisateur ne respecte pas avec un
profil de conformité, BES12 peut envoyer un e-mail personnalisé basé sur le modèle attribué. BES12 comprend un modèle par
défaut pour les e-mails relatifs aux violations de conformité. Ce modèle peut être modifié, mais pas supprimé. Si vous
n'attribuez pas un autre modèle à un compte d'utilisateur, BES12 utilise le modèle par défaut.
1.
2.
Cliquez sur Modèles d'e-mail.
115
3.
Cliquez sur
. Sélectionnez Violation de conformité.
4.
Dans le champ Nom, saisissez un nom pour identifier ce modèle.
5.
Dans le champ Objet, saisissez un objet pour l'e-mail.
6.
Dans le champ Message, saisissez le corps du texte de l'e-mail sur la conformité. Utilisez l'éditeur HTML pour
sélectionner le format de police et insérer des images (par exemple, un logo d'entreprise). Insérez des variables dans le
texte pour personnaliser le message (par exemple, utilisez la variable %UserDisplayName% pour insérer le nom du
destinataire). Pour obtenir la liste des variables disponibles, consultez Variables par défaut.
7.
Filtrage de contenu Web sur les terminaux iOS
Vous pouvez utiliser les profils de filtre de contenu Web pour limiter les sites Web qu'un utilisateur peut afficher dans Safari ou
d'autres applications de navigation sur un terminal iOS. Pour les terminaux iOS avec Secure Work Space, les profils de filtre de
contenu Web limitent également les sites Web qu'un utilisateur peut afficher dans le navigateur professionnel. Vous pouvez
attribuer des profils de filtre de contenu Web à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux.
Lorsque vous créez un profil de filtre de contenu Web, vous pouvez choisir l'option de sites Web autorisés répondant aux
normes de votre organisation en termes d'utilisation des terminaux mobiles.
Remarque: ce profil s'applique uniquement aux terminaux iOS supervisés.
Sites Web autorisés
Description
Sites Web spécifiques uniquement
Cette option permet d'accéder uniquement aux sites Web que vous spécifiez. Dans
Safari, un signet est créé pour chaque site Web autorisé.
Limiter le contenu pour adultes
Cette option permet le filtrage automatique afin d'identifier et de bloquer tout
contenu inapproprié. Vous pouvez également inclure certains sites Web en utilisant
les paramètres suivants :
•
URL autorisées : vous pouvez ajouter une ou plusieurs URL pour autoriser
l'accès à certains sites Web. Les utilisateurs peuvent afficher les sites Web de
cette liste même si le filtrage automatique en bloque l'accès.
•
URL non autorisées : vous pouvez ajouter une ou plusieurs URL pour refuser
l'accès à certains sites Web. Les utilisateurs ne peuvent pas afficher les sites
Web de cette liste même si le filtrage automatique en autorise l'accès.
116
Créer un profil de filtre de contenu Web
Lorsque vous créez un profil de filtre de contenu Web, chaque URL que vous spécifiez doit commencer par http:// ou https://. Si
nécessaire, vous devez ajouter des entrées distinctes pour les versions http:// ou https:// d'une même URL. La résolution DNS
n'intervient pas et dès lors, les sites Web limités restent accessibles (par exemple, si vous spécifiez http://www.exemple.com,
les utilisateurs seront peut-être en mesure d'accéder au site Web à l'aide de leur adresse IP).
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil de filtre de contenu Web.
4.
en regard de Filtre de contenu Web.
Tâche
Étapes
Autoriser l'accès à des sites Web
spécifiques uniquement
1.
Dans la liste déroulante Sites Web autorisés, vérifiez que le paramètre
Sites Web spécifiques uniquement est sélectionné.
2.
Dans la section Signets de sites Web spécifiques, cliquez sur
3.
Limiter le contenu pour adultes
.
a
Dans le champ URL, saisissez l'adresse Web dont vous souhaitez
autoriser l'accès.
b
Dans le champ Chemin du signet, vous pouvez également saisir le
nom d'un dossier de signets (par exemple, /Work/).
c
Dans le champ Titre, saisissez le nom du site Web.
d
4.
Répétez les étapes 2 et 3 pour chaque site Web autorisé.
1.
Dans la liste déroulante Sites Web autorisés, cliquez sur Limiter le
contenu pour adultes pour activer le filtrage automatique.
2.
Vous pouvez également procéder comme suit :
3.
a
Cliquez sur
b
Saisissez l'adresse Web dont vous souhaitez autoriser l'accès.
c
Répétez les étapes 2.a et 2.b pour chaque site Web autorisé.
en regard de URL autorisées.
Vous pouvez également procéder comme suit :
a
Cliquez sur
b
Saisissez l'adresse Web dont vous souhaitez refuser l'accès.
117
en regard de URL non autorisées.
Tâche
Étapes
c
5.
Répétez les étapes 3.a et 3.b pour chaque site Web limité.
Limiter les terminaux à une application
Sur les terminaux iOS supervisés ou les terminaux Android gérés à l'aide de KNOX MDM, vous pouvez utiliser un profil du mode
de verrouillage des applications pour limiter les terminaux à une seule application. Par exemple, vous pouvez limiter l'accès à
une seule application pour les formations ou les démonstrations en points de vente. Sur les terminaux iOS, le bouton d'accueil
d'un terminal est désactivé et le terminal ouvre automatiquement l'application lorsque l'utilisateur sort le terminal de veille ou le
redémarre.
Créer un profil du mode de verrouillage
Spécifiez une seule application à exécuter sur les terminaux, puis sélectionnez les paramètres de terminal que vous souhaitez
activer pour l'utilisateur. Pour les terminaux iOS supervisés, vous pouvez sélectionner une application dans la liste des
applications, spécifier l'identifiant d'offre de l'application ou sélectionner une application intégrée. Pour les terminaux Android
gérés à l'aide de KNOX MDM, spécifiez l'identifiant du package d'application que vous souhaitez définir en tant qu'écran
d'accueil.
Remarque: si l'utilisateur n'installe pas l'application sur un terminal, lors de l'attribution du profil à un utilisateur ou à un groupe
d'utilisateurs, le terminal n'est pas limité à l'application.
Avant de commencer: pour les terminaux iOS, si vous prévoyez d'utiliser la liste des applications pour sélectionner une
application, vérifiez qu'elle y est bien disponible.
1.
2.
Cliquez sur
3.
4.
Spécifiez si le profil s'applique aux terminaux iOS, aux terminaux Android, voire les deux.
5.
en regard de Mode de verrouillage des applications.
118
Tâche
Étapes
Spécifier l'application à exécuter sur
les terminaux iOS
Dans la section Spécifier l'application à exécuter sur le terminal, effectuez
l'une des opérations suivantes :
Spécifier l'application à exécuter sur
les terminaux Android
•
Cliquez sur Ajouter une application, puis sur une application de la
liste.
•
Cliquez sur Spécifier l'ID d'offre d'une application et saisissez l'ID
d'offre (par exemple, <com.company.appname >). Vous pouvez
utiliser les majuscules, les minuscules, les chiffres de 0 à 9, le tiret (-)
et le point (.).
•
Cliquez sur Sélectionner une application iOS intégrée et sélectionnez
une application dans la liste déroulante.
Dans le champ Spécifier l'application à exécuter sur le terminal, saisissez
l'identifiant du package d'application que vous souhaitez définir en tant
qu'écran d'accueil. Par exemple, si vous souhaitez BBM Meetings comme
application, saisissez com.blackberry.bbm.meetings.
6.
Dans Paramètres administrateur, sélectionnez les options que vous souhaitez activer pour l'utilisateur lors de l'utilisation
de l'application.
7.
Pour les terminaux iOS, dans Paramètres utilisateur, sélectionnez les options que l'utilisateur peut activer.
8.
Ajouter une application iOS à la liste des applications, à la page 160
Contrôle des versions du logiciel que les
utilisateurs peuvent installer sur les terminaux
BlackBerry 10
Pour les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure activés avec Travail et Personnel - Régulé ou
Espace Travail uniquement, vous avez la possibilité de limiter les versions du logiciel que les terminaux BlackBerry 10 peuvent
installer à l'aide du profil de restrictions SR des terminaux. Vous pouvez également ajouter des exceptions aux paramètres
119
globaux pour certains modèles de terminaux spécifiques. Par exemple, vous pouvez tester une version de logiciel avant de
l'utiliser dans votre organisation.
Pour appliquer une action particulière en cas d'installation d'une version restreinte du logiciel sur un terminal, vous devez créer
un profil de conformité et l'attribuer aux utilisateurs, groupes d'utilisateurs ou groupes de terminaux. Le profil de conformité
spécifie les actions que seront prises si l'utilisateur ne supprime pas la version restreinte du logiciel du terminal.
Créer un profil de la configuration logicielle minimale requise du
terminal
Avant de commencer: Créez ou modifiez un profil de conformité définissant les actions prises si une application limitée est
installée sur un terminal.
1.
2.
Cliquez sur
3.
Pour afficher la liste de toutes les versions logicielles des terminaux BlackBerry 10 ainsi que le fournisseur de services, le
modèle de terminal, l'ID de matériel, la version du logiciel et les informations d'état de révocation correspondants, cliquez
sur Afficher la liste des versions du logiciel des terminaux.
4.
5.
Cochez la case Mise à jour requise pour contraindre les utilisateurs à mettre à jour leurs terminaux vers une version du
logiciel définie dans le profil.
6.
Dans le champ Période de grâce, saisissez le laps de temps, en heures, pouvant s'écouler avant que les utilisateurs
doivent mettre à jour leurs terminaux. Si les utilisateurs ne mettent pas à jour leurs terminaux durant la période de grâce
ou si vous définissez la période de grâce sur 0, la mise à jour du logiciel est automatiquement installée sur les terminaux.
7.
Dans la liste déroulante Version minimale du logiciel, sélectionnez la version minimale du logiciel qu'un terminal
BlackBerry 10 doit exécuter.
8.
Dans la liste déroulante Version maximale du logiciel, sélectionnez la version maximale du logiciel qu'un terminal
BlackBerry 10 doit exécuter.
9.
Pour ignorer le paramètre global d'un modèle de terminal, procédez comme suit :
en regard des Configuration logicielle minimale requise du terminal.
a.
Dans le tableau Exceptions, cliquez sur
b.
Dans la liste déroulante Disposition, sélectionnez si vous souhaitez autoriser ou interdire des versions du logiciel. Si
vous spécifiez une plage interdite et n'avez pas spécifié de plage autorisée pour un modèle de terminal, une
deuxième colonne apparait pour vous permettre de le faire. Si une plage autorisée n'est pas spécifiée, les
paramètres globaux ne s'appliquent plus au modèle de terminal et toutes les versions du logiciel, sauf l'exception,
sont automatiquement autorisées.
c.
Dans la liste déroulante Modèle de terminal, sélectionnez le modèle de terminal pour lequel vous souhaitez définir
l'exception.
.
120
d.
Dans la liste déroulante Minimale, sélectionnez la version minimale du logiciel que vous souhaitez autoriser ou
interdire.
e.
Dans la liste déroulante Maximale, sélectionnez la version maximale du logiciel que vous souhaitez autoriser ou
interdire.
f.
Si vous avez interdit une version du logiciel, sélectionnez la version minimale du logiciel que vous souhaitez autoriser.
g.
Si vous avez interdit une version du logiciel, sélectionnez la version maximale du logiciel que vous souhaitez
autoriser.
Afficher les utilisateurs exécutant une version annulée du
logiciel
Vous pouvez afficher la liste des utilisateurs qui exécutent une version annulée du logiciel. Une version annulée du logiciel
correspond à une version du logiciel qui n'est plus acceptée par un fournisseur de services, mais peut toujours être installée sur
le terminal de l'utilisateur.
1.
2.
Dans le volet de gauche, développez Configuration logicielle minimale requise du terminal.
3.
Cliquez sur le nom du profil que vous souhaitez afficher.
4.
Cliquez sur l'onglet x utilisateurs exécutant une SR annulée pour afficher la liste des utilisateurs qui exécutent une
version annulée du logiciel.
Gestion des domaines de messagerie et des
domaines Web pour les terminaux iOS 8
Vous pouvez créer un profil de domaines gérés pour définir les domaines de messagerie et domaines Web pour les terminaux
iOS exécutant iOS 8 ou version ultérieure.
Remarque: ce profil affecte uniquement le comportement du terminal si celui-ci est activé avec le type d'activation Contrôles
MDM.
121
Le tableau suivant décrit les effets d'un ajout de domaines de messagerie et de domaines Web à ce profil :
Type de domaine
Description
Domaine de messagerie
Les domaines de messagerie répertoriés dans le profil des domaines gérés sont
considérés comme internes à l'entreprise. Si un utilisateur envoie un e-mail à partir
d'un terminal iOS 8 à un domaine de messagerie non répertorié dans le profil des
domaines gérés, le terminal avertit l'utilisateur que le destinataire est externe à
l'entreprise en surlignant l'adresse électronique en rouge. Le terminal n'empêche
pas l'utilisateur d'envoyer des e-mails à des destinataires externes.
Domaine Web
Les domaines Web répertoriés dans le profil des domaines gérés sont considérés
comme internes à l'entreprise. Les documents affichés ou téléchargés depuis un
domaine Web géré peuvent être ouverts sur le terminal iOS 8 à l'aide d'une
application gérée. Le terminal n'empêche pas l'utilisateur de consulter des
documents issus d'autres domaines Web.
Créer un profil de domaines gérés
Avant de commencer:
•
Les profils de domaines gérés s'appliquent uniquement aux terminaux iOS exécutant iOS 8 ou version ultérieure.
•
Les profils de domaines gérés s'appliquent uniquement aux terminaux avec le type d'activation Contrôles MDM.
1.
2.
Cliquez sur
3.
Dans le champ Nom, saisissez le nom du profil.
4.
Dans le champ Description, tapez la description du profil.
5.
Dans la section Domaines de messagerie gérés, cliquez sur
6.
Dans le champ Domaine de messagerie, saisissez un nom de domaine.
en regard de Domaines gérés.
.
Indiquez uniquement le nom de domaine du niveau supérieur. Par exemple, utilisez example.com plutôt que
example.com/canada.
7.
8.
Dans la section Domaines Web gérés, cliquez sur
9.
Dans le champ Domaine Web, saisissez un nom de domaine.
.
122
Configuration des domaines autorisés et limités
sur les terminaux avec espace Travail
Pour aider à prévenir la fuite de données, vous pouvez configurer les domaines accessibles aux utilisateurs depuis la
messagerie, le calendrier et les données de l'organiseur de l'espace Travail des terminaux iOS et Android.
•
Si vous configurez une liste de domaines autorisés, les utilisateurs peuvent accéder aux domaines autorisés sans
restrictions. Par exemple, ils peuvent cliquer sur les liens menant aux domaines ou ajouter des destinataires avec
adresses électroniques aux domaines pour envoyer des e-mails ou des invitations de calendrier. Si un domaine donné
ne se trouve pas sur la liste des domaines autorisés, l'application affiche un message d'avertissement lorsqu'un
utilisateur tente d'y accéder. Si l'utilisateur sélectionne OK, il peut accéder au domaine.
•
Si vous configurez une liste limitée de domaines, les utilisateurs ne peuvent pas accéder aux domaines de cette liste.
S'ils cliquent sur des liens menant aux domaines ou tentent d'ajouter des destinataires avec adresses électroniques
aux domaines, l'application affiche un message d'erreur et ne permet pas aux utilisateurs de mener à bien cette
opération. Un utilisateur peut accéder aux domaines non répertoriés sur la liste limitée.
Remarque: pour les terminaux BlackBerry 10, vous pouvez configurer les domaines autorisés et limités à l'aide des règles de
stratégie informatique « Liste autorisée des domaines de messagerie externes » et « Liste limitée des domaines de messagerie
externes ». Pour plus d'informations, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/
bes12-cloud/current/policy-reference-spreadsheet-zip/.
Configurer les domaines autorisés et limités dans l'espace
Travail
1.
2.
Sélectionnez le profil de messagerie que vous souhaitez modifier.
3.
Cliquez sur
4.
Cliquez sur l'onglet iOS ou Android.
5.
Dans la section Domaines de messagerie externes, ajoutez les domaines que vous souhaitez autoriser et les domaines
que vous souhaitez limiter.
6.
.
iOS : paramètres de profil de messagerie, à la page 299
Android : paramètres de profil de messagerie, à la page 304
123
Création d'avis d'entreprise à afficher sur les
terminaux
Vous pouvez configurer BES12 de manière à afficher les avis d'organisation personnalisés sur les terminaux BlackBerry 10, iOS,
OS X, Android ou Windows 10. Par exemple, lors de l'activation vous pouvez choisir d'afficher les conditions qu'un utilisateur
doit suivre pour se conformer aux exigences de sécurité de l'entreprise. L'utilisateur doit accepter l'avis pour continuer le
processus d'activation. Vous pouvez créer plusieurs avis pour couvrir différents besoins et créer des versions distinctes de
chaque avis pour prendre en charge différentes langues.
Pour les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure, vous pouvez également configurer BES12 pour
afficher un avis d'entreprise lorsqu'un utilisateur redémarre un terminal.
Quand afficher l'avis d'entreprise
Comment configurer l'avis d'entreprise
À l'activation
Créez un avis d'entreprise et attribuez-le à un profil d'activation. Pour modifier l'avis
qui s'affiche lors de l'activation, vous devez mettre à jour le profil d'activation, puis
réactiver le terminal.
Au redémarrage pour les terminaux
BlackBerry 10
Créez un avis d'entreprise et attribuez-le dans l'onglet BlackBerry du profil d'un
terminal. Vérifiez que la règle de stratégie informatique « Afficher l'avis d'entreprise
après redémarrage du terminal » est sélectionnée. Pour modifier l'avis qui s'affiche
au redémarrage du terminal, vous devez mettre à jour le profil du terminal.
Remarque: la règle de stratégie informatique s'applique uniquement aux types
d'activation « Espace Travail uniquement » et « Travail et Personnel - Régulé » des
terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure.
Créer des avis d'entreprise
1.
2.
3.
Cliquez sur Avis d'entreprise.
4.
Cliquez sur
5.
Dans le champ Nom, saisissez le nom de l'avis d'entreprise.
6.
Vous pouvez également réutiliser le texte d'un avis d'entreprise existant en le sélectionnant dans la liste déroulante Texte
copié à partir d'un avis d'entreprise.
7.
Dans la liste déroulante Langue du terminal, sélectionnez la langue à utiliser par défaut pour l'avis d'entreprise.
8.
Dans le champ Avis d'entreprise, saisissez le texte de l'avis d'entreprise.
située à droite de l'écran.
124
9.
Vous pouvez également cliquer plusieurs fois sur Ajouter une langue supplémentaire pour publier l'avis d'entreprise dans
plusieurs langues.
10. Si vous publiez l'avis d'entreprise dans plusieurs langues, sélectionnez l'option Langue par défaut sous l'un des messages
pour le définir en tant que langue par défaut.
À la fin:
•
Pour afficher l'avis d'organisation pendant l'activation, attribuez l'avis d'organisation à un profil d'activation.
•
Pour afficher l'avis d'organisation lorsqu'un terminal BlackBerry 10 redémarre, attribuez l'avis d'organisation à un
profil de terminal et sélectionnez l'option de stratégie informatique « Afficher l'avis d'organisation après le
redémarrage du terminal ».
Affichage des informations d'entreprise sur les
terminaux
Vous pouvez créer des profils de terminaux pour afficher des informations relatives à votre entreprise sur les terminaux.
Pour BlackBerry 10, un avis d'entreprise s'affiche lorsqu'un utilisateur redémarre le terminal. Pour iOS, les informations sur
l'entreprise s'affichent dans l'application Good for BES12. Pour Android et Windows Phone, les informations sur l'entreprise
s'affichent dans BES12 Client sur le terminal. Pour Windows 10, le numéro de téléphone et l'adresse électronique sont indiqués
dans les informations d'assistance technique du terminal.
Pour les terminaux BlackBerry 10 et iOS, vous pouvez ajouter une image de fond d'écran personnalisée à l'espace Travail pour
afficher des informations destinées à vos utilisateurs. Par exemple, vous pouvez créer une image affichant vos informations de
contact, informations de site Web interne ou le logo de votre entreprise.
Créer un profil de terminal
Avant de commencer: Pour les terminaux BlackBerry 10, créez des avis d'entreprise.
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil. Chaque profil de terminal doit avoir un nom unique.
4.
en regard de Terminal.
125
Tâche
Étapes
Attribuer un avis d'entreprise à afficher 1.
sur les terminaux BlackBerry 10 au
2.
redémarrage du terminal
PouriOS, définissez les informations de 1.
l'entreprise qui doivent s'afficher dans
2.
l'applicationGood for BES12.
Cliquez sur BlackBerry.
Dans la liste déroulante Attribuer un avis d'entreprise, sélectionnez l'avis
d'entreprise vous que vous souhaitez afficher sur les terminaux.
Cliquez suriOS,AndroidouWindows.
Saisissez le nom, l'adresse, le numéro de téléphone et l'adresse
électronique de votre organisation.
PourAndroidouWindows Phone,
définissez les informations de
l'entreprise qui doivent s'afficher
dansBES12 Client.
PourWindows 10, définissez le numéro
de téléphone et l'adresse électronique
à afficher dans les informations
d'assistance sur les terminaux.
5.
Si nécessaire, effectuez les opérations suivantes :
Tâche
Étapes
Ajoutez une image de fond d'écran à
l'espace Travail sur les terminaux
BlackBerry 10
1.
Cliquez sur BlackBerry.
2.
Dans la section Fond d'écran de l'espace Travail, cliquez sur Parcourir.
3.
Sélectionnez l'image que vous souhaitez utiliser comme fond d'écran.
4.
Cliquez sur Ouvrir.
1.
Cliquez sur iOS.
2.
Dans la section Fond d'écran de l'espace Travail, cliquez sur Parcourir.
3.
Sélectionnez l'image que vous souhaitez utiliser comme fond d'écran.
4.
Cliquez sur Ouvrir.
5.
Dans le champ Définir le fond d'écran pour, sélectionnez l'endroit où
vous voulez que le fond d'écran s'affiche.
Ajoutez une image de fond d'écran à
l'espace Travail sur les terminaux iOS
6.
126
Création d'icônes Web pour les terminauxiOS et
les terminauxOS X
Vous pouvez utiliser un profil d'icône Web pour créer une icône Web personnalisée qui s'affiche sur les terminaux des
utilisateurs. Par exemple, vous pouvez créer une icône Web personnalisé fournissant un raccourci vers le site Web interne de
l'entreprise. Pour chaque profil d'icône web, vous pouvez configurer les attributs suivants :
•
Adresse Web qui s'ouvre lorsque l'utilisateur sélectionne l'icône Web
•
Apparence de l'icône Web, image et libellé notamment
•
Possibilité pour les utilisateurs de supprimer l'icône Web de leurs terminaux
•
Possibilité pour l'adresse Web de s'ouvrir en plein écran sur les terminaux des utilisateurs
OS X applique les profils aux terminaux ou comptes d'utilisateur. Les profils d'icône Web sont appliqués aux comptes
d'utilisateur.
Ajouter un profil d'icône Web
Vous devez créer un profil d'icône Web profil pour chaque icône Web à afficher sur les terminaux des utilisateurs. Si un
utilisateur supprime l'icône Web de son terminal et souhaite la restaurer, vous devez supprimer et réattribuer ce profil d'icône
Web à l'utilisateur. Si vous décochez la case Ouvrir l'icône Web en tant qu'application plein écran, l'adresse Web s'ouvre dans
un navigateur.
Remarque: les profils d'icône Web ne sont pas pris en charge sur les terminaux dotés du type d'activation « Travail et Personnel
- Confidentialité de l'utilisateur ».
Avant de commencer: vérifiez que l'image que vous prévoyez d'utiliser pour l'icône Web répond aux exigences suivantes :
•
Format d'image de type .png, .jpg ou .jpeg.
•
Évitez d'utiliser des images .png présentant des éléments transparents. Les éléments transparents s'afficheront en
noir sur le terminal.
•
Pour connaitre les tailles recommandées des images, rendez-vous sur developer.apple.com. et consultez la rubrique
Tailles des icônes et des images.
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil d'icône Web. Le nom est utilisé en tant que libellé pour l'icône Web.
4.
Cliquez sur Parcourir. Localisez et sélectionnez une image pour l'icône Web. Les formats d'image pris en charge sont les
suivants : .png, .jpg ou .jpeg.
en regard de Icône Web.
127
5.
Dans le champ URL, saisissez l'adresse Web qui s'ouvre lorsque les utilisateurs sélectionnent l'icône Web. L'adresse Web
doit commencer par http:// ou https://. Sur les terminaux dotés du type d'activation « Travail et Personnel - Contrôle total »,
vous pouvez utiliser une adresse Web commençant par sec-connect:// ou sec-se connects:// pour ouvrir le site Web dans
le navigateur de l'espace Travail.
6.
Pour permettre aux utilisateurs de supprimer l'icône Web depuis l'écran d'accueil de leurs terminaux, cochez la case
Autoriser les utilisateurs à supprimer.
7.
Pour activer l'adresse Web en plein écran sur les terminaux des utilisateurs, vérifiez que la case Ouvrir l'icône Web en tant
qu'application plein écran est cochée.
8.
Utilisation des services de localisation sur les
terminaux
Un profil de service de localisation vous permet de demander l'emplacement de terminaux et d'afficher leur emplacement
approximatif sur une carte. Vous pouvez également permettre aux utilisateurs de localiser leurs terminaux à l'aide de BES12
Self-Service. Si vous activez l'historique de localisation des terminaux iOS et Android, les terminaux doivent donner
périodiquement des informations sur leur emplacement et les administrateurs peuvent afficher l'historique de localisation.
Les profils de service de localisation utilisent les services de localisation sur les terminaux iOS, Android et Windows 10 Mobile.
Selon le terminal et les services disponibles, les services de localisation peuvent utiliser les informations des réseaux GPS,
cellulaires et Wi-Fi pour déterminer l'emplacement du terminal.
Configurer les paramètres du service de localisation
Vous pouvez configurer les paramètres des profils de service de localisation, tels que l'unité de vitesse qui s'affiche pour un
terminal lorsque vous affichez son emplacement sur une carte. Si vous activez l'historique de localisation pour les terminaux
iOS et Android,BES12 conserve l'historique pendant 1 mois par défaut.
1.
Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux > Service de localisation.
2.
Dans la liste déroulante Unité de vitesse affichée, cliquez sur km/h ou mph .
3.
128
Créer un profil de service de localisation
Vous pouvez attribuer un profil de service de localisation aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de
terminaux. Les utilisateurs doivent accepter le profil pour que la console de gestion ou BES12 Self-Service puisse afficher
l'emplacement de terminaux iOS et Android sur une carte.Les terminaux Windows 10 Mobile acceptent automatiquement le
profil.
Avant de commencer: Configurer les paramètres du service de localisation
1.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil de service de localisation.
4.
5.
en regard du Service de localisation.
Tâche
Étapes
Activer l'historique de localisation des
terminaux iOS
1.
Dans l'onglet iOS, vérifiez que la case Consigner l'historique de
localisation du terminal est cochée.
Remarque: BES12 enregistre l'emplacement du terminal toutes les heures et
signale dans la mesure du possible les changements significatifs
d'emplacement du terminal (un déplacement de 500 mètres ou plus, par
exemple).
Activer l'historique de localisation des
terminaux Android
1.
Dans l'onglet Android, vérifiez que la case Consigner l'historique de
localisation du terminal est cochée.
2.
Dans le champ Distance de vérification de la localisation d'un terminal,
indiquez la distance minimale du déplacement d'un terminal avant que
son emplacement soit mis à jour.
3.
Dans le champ Fréquence de mise à jour de la localisation, indiquez la
fréquence à laquelle l'emplacement du terminal est mis à jour.
Remarque: Les conditions de distance et de fréquence doivent être remplies
avant que l'emplacement du terminal soit mis à jour.
6.
129
Localiser un terminal, à la page 285
Gestion des fonctionnalités iOS à l'aide des
profils de charge utile personnalisée
Vous pouvez utiliser des profils de charge utile personnalisée pour contrôler les fonctionnalités sur les terminaux iOS qui ne sont
pas contrôlés par les règles ou profils BES12 existants.
Remarque: Si une fonction est commandée par une stratégie ou un profil BES12 existant, un profil de charge utile
personnalisée peut ne pas fonctionner comme prévu. Vous devez utiliser les stratégies ou profils existants chaque fois que cela
est possible.
Vous pouvez créer des profils de configuration Apple à l'aide d'Apple Configurator et les ajouter aux profils de charge utile
personnalisée BES12. Vous pouvez affecter les profils de charge utile personnalisée aux utilisateurs, aux groupes d'utilisateurs
et aux groupes de terminaux.
•
Contrôlez une fonctionnalité iOS existante qui n'est pas comprise dans les politiques et les profils
BES12. Par exemple, avec BES10, l'assistant du PDG a pu accéder à la fois à son propre compte de
messagerie et au compte du PDG sur un iPhone. Dans BES12, vous pouvez attribuer un seul profil de
messagerie à un terminal, de sorte que l'assistant peut uniquement accéder à son propre compte de
messagerie. Pour résoudre ce problème, vous pouvez attribuer un profil de messagerie pour
permettre à l'iPhone de l'assistant d'accéder au compte de messagerie de l'assistant et un profil
personnalisé pour permettre à l'iPhone de l'assistant d'accéder au compte de messagerie du PDG.
•
Contrôlez une nouvelle fonctionnalité iOS, lancée après la dernière version du logiciel BES12. Par
exemple, vous souhaitez contrôler une nouvelle fonctionnalité qui sera disponible sur les terminaux
lors de leur mise à niveau à iOS 9, mais BES12 ne dispose pas encore d'un profil pour cette nouvelle
fonction, jusqu'à la prochaine version du logiciel BES12. Pour résoudre ce problème, vous pouvez
créer un profil de charge utile personnalisée qui contrôle cette fonction jusqu'à la prochaine version
du logiciel BES12.
Création d'un profil de charge utile personnalisée
Avant de commencer: Téléchargez et installez la dernière version d'Apple Configurator d'Apple.
1.
Dans Apple Configurator, créez un profil de configuration Apple.
2.
Dans la console de gestion BES12, cliquez sur Règles et profils.
3.
Cliquez sur Ajouter un profil de charge utile personnalisée.
4.
Dans le champ Nom, saisissez le nom du profil.
130
5.
Dans le champ Description, saisissez la description de la fonction du profil.
6.
Dans Apple Configurator, copiez le code XML pour le profil de configuration Apple. Lorsque vous copiez le texte, copiez
uniquement les éléments en caractères gras, comme illustré dans l'exemple de code suivant.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/
PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>CalDAVAccountDescription</key>
<string>CalDAV Account Description</string>
<key>CalDAVHostName</key>
<string>caldav.server.example</string>
<key>CalDAVPort</key>
<integer>8443</integer>
<key>CalDAVPrincipalURL</key>
<string>Principal URL for the CalDAV account</string>
<key>CalDAVUseSSL</key>
</true>
<key>CalDAVUsername</key>
<string>Username</string>
<key>PayloadDescription</key>
<string>Configures CalDAV account.</string>
<key>PayloadDisplayName</key>
<string>CalDAV (CalDAV Account Description)</string>
<key>PayloadIdentifier</key>
<string>.caldav1</string>
<key>PayloadOrganization</key>
<string></string>
<key>PayloadType</key>
<string>com.apple.caldav.account</string>
<key>PayloadUUID</key>
<string>9ADCF5D6-397C-4E14-848D-FA04643610A3</string>
<key>PayloadVersion</key>
</dict>
</array>
<key>PayloadDescription</key>
<string>Profile description.</string>
<key>PayloadDisplayName</key>
<string>Profile Name</string>
<key>PayloadOrganization</key>
<string></string>
<key>PayloadRemovalDisallowed</key>
<false/>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>7A5F8391-5A98-46EA-A3CF-C0D6EDC74632</string>
<key>PayloadVersion</key>
</dict>
</plist>
131
7.
Dans le champ Charge utile personnalisée, collez le code XML d'Apple Configurator.
8.
Créer un profil AirPrint
Vous pouvez configurer des profils AirPrint et les affecter à des terminaux qui exécutent iOS 7 ou version ultérieure afin que les
utilisateurs n'aient pas besoin de configurer les imprimantes manuellement.Les profils AirPrint peuvent aider les utilisateurs à
trouver les imprimantes qui prennent en charge AirPrint, qui sont accessibles, et pour lesquelles ils disposent des autorisations
requises.
1.
2.
Cliquez sur
3.
Tapez le nom et la description du profil AirPrint.
4.
Dans la section Configuration d'AirPrint, cliquez sur
5.
Dans le champ Adresse IP, saisissez l'adresse IP de l'imprimante ou du serveur AirPrint.
6.
En option, dans le champ Chemin de ressource, saisissez le chemin de ressource de l'imprimante.
Le chemin de ressource de l'imprimante correspond au paramètre rp du dossier Bonjour _ipps.tcp. Par exemple :
en regard d'AirPrint.
•
printers/<gamme de l'imprimante>
•
printers/<modèle de l'imprimante>
•
ipp/print
•
IPP_Printer
7.
8.
.
132
Configuration de profils AirPlay pour les
terminaux iOS
Vous pouvez configurerAirPlay les profils et les affecter à des dispositifs qui fonctionnent sous iOS 7 ou version ultérieure.
AirPlay est une fonctionnalité iOS qui vous permet d'afficher des photos ou de diffuser de la musique et des vidéos vers des
terminaux AirPlay compatibles, tels que Apple TV, AirPort Express ou des haut-parleurs compatibles AirPlay.
Avec un profil AirPlay, vous pouvez définir des mots de passe pour des terminaux AirPlay spécifiques afin de vous assurer que
seuls les utilisateurs autorisés peuvent y accéder. Vous pouvez également créer une liste autorisée de terminaux de destination
pour vous assurer que les terminaux iOS supervisés ne peuvent se connecter qu'aux terminaux AirPlay que vous spécifiez. Vous
pouvez attribuer des profils AirPlay à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux.
Exemple : Définir un mot de passe pour un terminal AirPlay
Si vous souhaitez limiter l'accès à un terminal AirPlay spécifique, ajoutez le nom du terminal et définissez un
mot de passe.Les utilisateurs du terminal iOS possédant ce profil AirPlay devront saisir le mot de passe pour
accéder à ce terminal AirPlay. Notez que le mot de passe est requis par le profil AirPlay, et non par le terminal
AirPlay lui-même.Les utilisateurs de terminaux iOS qui ne disposent pas de ce profil AirPlay peuvent toujours
accéder au terminal AirPlaysans le mot de passe.
Exemple : Créer une liste de terminaux AirPlay pour terminaux iOS supervisés
Si vous souhaitez autoriser les terminaux iOS supervisés à diffuser du contenu uniquement sur certains
terminaux, vous pouvez ajouter l'ID du terminal. Les terminaux supervisés ne seront en mesure de diffuser du
contenu que sur les terminaux que vous spécifiez. Les terminaux qui ne sont pas supervisés ne seront pas
affectés par cette liste.
Créer un profil AirPlay
1.
2.
Cliquez sur
3.
Tapez le nom et la description du profil AirPlay.
4.
Cliquez sur
5.
Dans le champ Nom du terminal, saisissez le nom du terminal AirPlay que vous souhaitez ajouter. Vous pouvez trouver le
nom du terminal AirPlay dans les paramètres du terminal ou vous pouvez rechercher le nom du terminal en sélectionnant
AirPlay dans le centre de contrôle d'un terminal iOS pour afficher la liste des terminaux AirPlay disponibles autour de
vous.
6.
Dans le champ Mot de passe, saisissez un mot de passe.
en regard d'AirPlay.
dans la section Terminaux de destination autorisés.
133
7.
8.
Cliquez sur
9.
Dans le champ ID du terminal, saisissez l'ID du terminal AirPlay que vous souhaitez ajouter. Vous trouverez l'ID du
terminal AirPlay dans ses paramètres. Pour plus d'informations sur la recherche de l'ID du terminal, reportez-vous à la
documentation de votre produit Apple.
dans la section Terminaux de destination autorisés pour les terminaux supervisés.
Contrôle de l'utilisation du réseau pour les
applications professionnelles sur les terminaux
iOS
Vous pouvez utiliser un profil d'utilisation du réseau pour contrôler la façon dont les applications professionnelles sur des
terminaux exécutant iOS 9 ou version ultérieure utilisent le réseau mobile.
Pour mieux gérer l'utilisation du réseau, vous pouvez empêcher les applications de transférer des données lorsque des
terminaux sont connectés au réseau mobile ou lorsque des terminaux sont en itinérance. Vous pouvez spécifier les mêmes
règles d'utilisation du réseau pour toutes les applications professionnelles, ou vous pouvez spécifier les règles pour certaines
applications professionnelles. Un profil d'utilisation de réseau peut contenir des règles pour une ou plusieurs applications. Si
vous ne spécifiez pas d'applications dans le profil, les règles sont appliquées à toutes les applications professionnelles.
Créer un profil d'utilisation du réseau
Les règles dans un profil d'utilisation de réseau s'appliquent aux applications professionnelles seulement. Si vous n'avez pas
attribué d'applications à des utilisateurs ou groupes, le profil d'utilisation du réseau ne possède pas d'effet.
Avant de commencer: ajoutez des applications à la liste d'applications et attribuez-les aux groupes d'utilisateurs ou aux
comptes d'utilisateurs.
1.
2.
Cliquez sur
3.
4.
Cliquez sur
5.
Effectuez l'une des opérations suivantes :
en regard d'Utilisation du réseau.
pour ajouter un ID de package d'application.
134
•
Pour appliquer les paramètres de profil à toutes les applications professionnelles, laissez le champ ID de
package d'application vide.
•
Pour appliquer les paramètres du profil à des applications spécifiques, tapez l'ID de package d'application. L'ID
de package d'application est également connu en tant qu'ID de pack. Vous pouvez trouver l'ID de package de
l'application en cliquant sur l'application dans la liste des applications. Utilisez un caractère générique (*) pour
mettre en correspondance l'ID avec plusieurs applications (par exemple, com.company.*).
6.
Pour empêcher l'application ou les applications d'utiliser des données lorsque le terminal est en itinérance, décochez la
case Autoriser l'itinérance des données.
7.
Pour empêcher l'application ou les applications d'utiliser des données lorsque le terminal est connecté au réseau mobile,
décochez la case Autoriser les données cellulaires.
8.
135
Stratégies informatiques
9
Vous pouvez utiliser des stratégies informatiques pour gérer la sécurité et le comportement des terminaux de votre
organisation. Une stratégie informatique est un ensemble de règles qui contrôlent des fonctions et fonctionnalités sur des
terminaux. Vous pouvez configurer des règles pour les terminaux BlackBerry 10, iOS, OS X, Android et Windows dans la même
stratégie informatique. Le système d'exploitation du terminal dresse la liste des fonctions qui peuvent être contrôlées à l'aide de
stratégies informatiques, et le type d'activation du terminal détermine les règles de stratégie informatique qui s'appliquent à un
terminal spécifique. Les terminaux ignorent les règles de stratégie informatique qui ne les concernent pas.
BES12 inclut une stratégie informatique par défaut dotée de règles préconfigurées pour chaque type de terminal. Si aucune
stratégie informatique n'est attribuée à un compte d'utilisateur, un groupe d'utilisateurs auquel appartient un utilisateur ou un
groupe de terminaux auquel appartiennent les terminaux d'un utilisateur, BES12 envoie la stratégie informatique par défaut
aux terminaux de l'utilisateur. BES12 envoie automatiquement une stratégie informatique IT à un terminal lorsqu'un utilisateur
l'active, lorsque vous mettez à jour une stratégie informatique attribuée ou lorsqu'une stratégie informatique différente est
attribuée à un compte d'utilisateur ou à un terminal.
Pour plus d'informations sur les règles de stratégie informatique pour chaque type de terminal, téléchargez la Feuille de
référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/
Étapes à suivre pour gérer des stratégies
informatiques
Pour gérer des stratégies informatiques, procédez comme suit :
Étape
Action
Consultez la stratégie informatique par défaut et, si nécessaire, procédez à des mises à jour.
Vous pouvez également créer des stratégies informatiques personnalisées.
Si nécessaire, classez les stratégies informatiques.
Si vous créez des stratégies informatiques personnalisées, attribuez-les à des comptes d'utilisateur,
groupes d'utilisateurs ou groupes de terminaux.
136
Limiter ou autoriser les fonctionnalités du
terminal
Lorsque vous configurez des règles de stratégie informatique, vous pouvez limiter ou autoriser les fonctionnalités du terminal.
Les règles de stratégie informatique disponibles pour chaque type de terminal dépendent du système d'exploitation et de la
version du terminal, ainsi que du type d'activation du terminal. Par exemple, selon le type de terminal et d'activation, vous
pouvez utiliser des règles de stratégie informatique pour :
•
Appliquer des exigences en matière de mot de passe au terminal ou à l'espace Travail d'un terminal
•
Empêcher les utilisateurs d'utiliser les fonctionnalités du terminal, telles que l'appareil photo
•
Contrôler les connexions utilisant la technologie sans fil Bluetooth
•
Contrôler la disponibilité de certaines applications
•
Exiger le cryptage et d'autres fonctionnalités de sécurité
Selon le type d'activation du terminal, vous pouvez utiliser des règles de stratégie informatique pour contrôler l'ensemble du
terminal et/ou uniquement l'espace Travail d'un terminal. Pour plus d'informations sur les règles de stratégie informatique pour
chaque type de terminal, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/
current/policy-reference-spreadsheet-zip/.
Configuration des exigences de mot de passe du
terminal
Vous pouvez utiliser des règles de stratégie informatique pour définir les exigences de mot de passe pour les terminaux. Vous
pouvez définir des exigences de longueur et de complexité du mot de passe, l'expiration du mot de passe et le résultat de
tentatives de saisie de mots de passe incorrects. Les rubriques suivantes expliquent les règles de mot de passe qui s'appliquent
aux différents terminaux et les types d'activation.
Pour plus d'informations sur les règles de stratégie informatique, /téléchargez la Feuille de référence des stratégies sur
help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/.
Configuration des exigences de mot de passe pour BlackBerry
10
Sur les terminaux BlackBerry 10, les règles de mot de passe affectent le mot de passe de l'espace Travail. Les terminaux
"Espace Travail uniquement" doivent avoir un mot de passe et vous pouvez définir les exigences pour ce mot de passe.
137
Vous pouvez choisir si les terminaux "Travail et Personnel - Entreprise" et "Travail et Personnel - Régulé" doivent avoir un mot de
passe pour l'espace Travail. Si vous avez besoin d'un mot de passe pour l'espace Travail, vous pouvez définir des exigences
minimum pour ce mot de passe, indiquer si le terminal doit également avoir un mot de passe et spécifier si les mots de passe de
l'espace Travail et du terminal peuvent ou doivent être les mêmes.
Règle
Détails
Mot de passe requis pour
l'espace Travail
Spécifiez si les terminaux "Travail et Personnel - Entreprise" et "Travail et Personnel - Régulé"
nécessitent un mot de passe pour l'espace Travail. Les terminaux "Espace Travail
uniquement" doivent avoir un mot de passe.
Longueur minimale du mot de Spécifiez la longueur minimale du mot de passe de l'espace Travail. Le mot de passe doit
passe
contenir au moins 4 caractères.
Complexité minimale du mot
de passe
Délai de sécurité
Spécifiez la complexité minimale des mots de passe de l'espace Travail. Vous pouvez choisir
l'une des options suivantes :
•
Aucune restriction
•
1 lettre et 1 chiffre minimum
•
1 lettre, 1 chiffre et 1 caractère spécial minimum
•
1 lettre majuscule, 1 lettre minuscule, 1 chiffre et 1 caractère spécial minimum
•
1 lettre majuscule, 1 lettre minuscule et 1 chiffre minimum
Spécifiez la période d'inactivité de l'utilisateur avant le verrouillage de l'espace Travail.
Nombre maximum de
Spécifiez le nombre de tentatives de saisie du mot de passe possibles avant la réinitialisation
tentatives de saisie du mot de de l'espace Travail. Sur les terminaux "Travail et Personnel - Entreprise" et "Travail et
passe
Personnel - Régulé", si l'espace Travail et le terminal ont le même mot de passe, le terminal
est réinitialisé.
Historique maximum des
mots de passe
Spécifiez le nombre de mots de passe précédents que le terminal vérifie pour empêcher un
utilisateur de réutiliser de précédents mots de passe pour l'espace Travail. S'il est défini sur 0,
le terminal ne vérifie pas les mots de passe précédents.
Délai d'expiration du mot de
passe
Spécifiez le nombre maximum de jours pendant lesquels le mot de passe de l'espace Travail
peut être utilisé. S'il est défini sur 0, le mot de passe n'expire pas.
Exiger le mot de passe
complet du terminal
Spécifiez si les terminaux "Travail et Personnel - Entreprise" et "Travail et Personnel - Régulé"
nécessitent un mot de passe pour le terminal ainsi que pour l'espace Travail.
Définir le comportement des
mots de passe de l'espace
Travail et du terminal
Précisez si le mot de passe de l'espace Travail et le mot de passe du terminal doivent être
différents, identiques ou si l'utilisateur peut choisir des mots de passe identiques ou non.
138
Pour plus d'informations sur les règles du mot de passe de la stratégie informatique, téléchargez la Feuille de référence des
stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/.
Configuration des exigences de mot de passe pour iOS
Il existe deux groupes de règles de stratégie informatique pour les mots de passe iOS. Le groupe de règles que vous utilisez
dépend du type d'activation du terminal et si vous configurez des exigences pour le mot de passe du terminal ou pour le mot de
passe de l'espace Travail.
Type d'activation
Règles de mot de passe prises en charge
Contrôles MDM
Utilisez les règles de mot de passe pour définir les exigences du mot de passe du
terminal.
Le terminal ne dispose pas d'un Espace Travail. Les règles de mot de passe de
Secure Work Space sont ignorées par le terminal.
Travail et Personnel - Contrôle total
(Secure Work Space)
Utilisez les règles de mot de passe pour définir les exigences du mot de passe du
terminal.
Utilisez les règles de mot de passe de Secure Work Space pour définir les exigences
de mot de passe pour l'espace Travail. Les règles de mot de passe du terminal n'ont
aucun effet sur l'espace Travail et vice versa.
Travail et Personnel - Confidentialité de
l'utilisateur (Secure Work Space)
Vous n'avez aucun contrôle sur le mot de passe du terminal. Les règles du mot de
passe du terminal sont ignorées par le terminal.
de mot de passe pour l'espace Travail.
iOS : règles de mot de passe du terminal
Les règles de mot de passe iOS définissent les exigences de mot de passe des terminaux dotés des types d'activation suivants :
•
Contrôles MDM
•
Remarque: les terminaux iOS et certaines des règles de mot de passe du terminal utilisent le terme "code secret". Les termes
"mot de passe" et "code secret" ont la même signification.
Règle
Description
Mot de passe requis pour le
terminal
Spécifiez si l'utilisateur doit définir un mot de passe pour le terminal.
139
Règle
Description
Accepter les valeurs simples
Spécifiez si le mot de passe peut contenir des caractères séquentiels ou répétés, tels que
DEFG ou 3333.
Exiger des valeurs
alphanumériques
Spécifiez si le mot de passe doit contenir à la fois des lettres et des chiffres.
Longueur minimale du mot de Précisez la longueur minimale du mot de passe. Si vous entrez une valeur inférieure à la valeur
passe
minimale requise par le terminal iOS, la valeur minimum du terminal est utilisée.
Nombre minimal de
caractères complexes
Spécifiez le nombre minimum de caractères non-alphanumériques que doit contenir le mot
de passe.
Âge maximal du mot de passe Spécifiez le nombre maximum de jours pendant lesquels le mot de passe peut être utilisé.
Verrouillage automatique
maximum
Spécifiez la valeur maximum à définir par l'utilisateur pour le verrouillage automatique, qui
correspond au nombre de minutes d'inactivité à l'issue desquelles le terminal doit se
verrouiller. Si vous définissez cette règle sur Aucun, toutes les valeurs prises en charge sont
disponibles sur le terminal. Si la valeur sélectionnée se trouve en dehors de la plage prise en
charge par le terminal, celui-ci utilisera la valeur la plus proche qu'il prend en charge.
Historique des mots de passe
utilisateur de réutiliser un mot de passe récent.
Délai de grâce maximum pour Spécifiez la valeur maximum que l'utilisateur peut définir pour le délai de grâce relatif au
le verrouillage du terminal
verrouillage du terminal. Il s'agit du délai pendant lequel le terminal peut rester verrouillé
avant qu'un mot de passe soit requis pour le déverrouiller. Si vous définissez cette règle sur
"Aucun", toutes les valeurs sont disponibles sur le terminal. Si vous définissez cette règle sur
"Immédiatement", le mot de passe est requis immédiatement après le verrouillage du
terminal.
Nombre maximum d'échecs Spécifiez le nombre de tentatives de saisie du mot de passe possibles avant la réinitialisation
de tentatives de saisie du mot du terminal.
de passe
Autoriser les modifications de Spécifiez si l'utilisateur peut ajouter, modifier ou supprimer le mot de passe.
mot de passe (sous
supervision uniquement)
140
iOS: Secure Work Space règles de mot de passe
Les règles de mot de passe de iOS Secure Work Space définissent les exigences de mot de passe de l'espace Travail des
terminaux dotés des types d'activation suivants :
•
•
Les terminaux dotés de ces types d'activation doivent avoir un mot de passe pour l'espace Travail.
Règle
Description
Autoriser les mots de passe
avec caractères séquentiels et DEFG ou 3333.
répétés
Lettres requises
Spécifiez si le mot de passe doit contenir des lettres. Si vous sélectionnez cette règle, vous
pouvez spécifier le nombre minimum de lettres que le mot de passe doit contenir.
Lettres minuscules requises
Spécifiez si le mot de passe doit contenir des lettres minuscules. Si vous sélectionnez cette
règle, vous pouvez spécifier le nombre minimum de lettres minuscules que le mot de passe
doit contenir.
Chiffres requis
Spécifiez si le mot de passe doit contenir des chiffres. Si vous sélectionnez cette règle, vous
pouvez spécifier le nombre minimum de chiffres que le mot de passe doit contenir.
Caractères spéciaux requis
Spécifiez si le mot de passe doit contenir des caractères spéciaux. Si vous sélectionnez cette
règle, vous pouvez spécifier le nombre minimum de caractères spéciaux que le mot de passe
doit contenir.
Lettres majuscules requises
Spécifiez si le mot de passe doit contenir des lettres majuscules. Si vous sélectionnez cette
règle, vous pouvez spécifier le nombre minimum de lettres majuscules que le mot de passe
doit contenir.
Limite de longueur du mot de
passe
Spécifiez si le mot de passe a une longueur minimale et maximale. Si vous sélectionnez cette
règle, vous pouvez spécifier le nombre minimum et maximum de caractères que le mot de
passe doit contenir.
passe
Spécifiez le nombre maximum de jours pendant lesquels le mot de passe peut être utilisé.
Passé ce délai, le mot de passe expire et l'utilisateur doit en définir un nouveau. S'il est défini
sur 0, le mot de passe n'expire pas.
Limite de réutilisation
d'anciens mots de passe
Précisez si un utilisateur peut réutiliser les mots de passe précédents. Si vous sélectionnez
cette règle, spécifiez le nombre de mots de passe précédents que le terminal vérifie pour
empêcher un utilisateur de réutiliser un mot de passe récent.
141
Règle
Description
Verrouiller l'espace Travail au
verrouillage du terminal
Spécifiez si l'espace Travail doit se verrouiller lorsque le terminal se verrouille pendant que
l'utilisateur se trouve dans l'espace Travail.
Si cette règle est sélectionnée, lorsqu'un utilisateur se trouve dans l'espace Travail, ce dernier
se verrouille immédiatement lorsque l'utilisateur verrouille manuellement le terminal ou après
une période d'inactivité plus courte que celle indiquée par le paramètre « Période d'inactivité
de l'espace Travail avant son verrouillage » ou le paramètre de verrouillage automatique du
terminal.
après son inactivité
Spécifiez si l'espace Travail doit se verrouiller à l'issue d'une période d'inactivité dans l'espace
Travail.
Si cette règle est sélectionnée, lorsqu'un utilisateur se trouve dans l'espace Travail, ce dernier
se verrouille après une période d'inactivité plus courte que celle indiquée par le paramètre
« Période d'inactivité de l'espace Travail avant son verrouillage » ou, si la règle « Verrouiller
l'espace Travail au verrouillage du terminal » est sélectionnée, celle indiquée par le paramètre
de verrouillage automatique du terminal. Lorsque l'utilisateur se trouve dans l'espace
Personnel, l'espace Travail se verrouille après la période spécifiée dans le paramètre
« Verrouiller l'espace Travail après le temps écoulé dans l'espace Personnel ». Si cette règle
est sélectionnée et si l'espace Travail se verrouille lorsqu'une application de l'espace Travail
est ouverte, le terminal ne se verrouille pas et l'écran ne s'éteint pas.
Période d'inactivité de
l'espace Travail avant son
verrouillage
Spécifiez la période d'inactivité dans l'espace Travail qui doit s'écouler avant le verrouillage de
l'espace Travail.
après le temps écoulé dans
l'espace Personnel
Spécifiez la période pendant laquelle l'utilisateur doit rester dans l'espace Personnel avant le
verrouillage de l'espace Travail.
Limite du nombre de
tentatives de mots de passe
incorrects
Précisez si un terminal limite le nombre de tentative de mot de passe d'un utilisateur de
l'espace Travail. Si vous sélectionnez cette règle, spécifiez le nombre de tentatives de saisie
de mot de passe possibles et l'action qui se produit lorsque la limite est atteinte. Le terminal
peut effectuer l'une des opérations suivantes :
•
Désactiver l'espace Travail jusqu'à sa restauration par un administrateur
•
Désactiver le terminal, qui supprime toutes les données de l'espace Travail
•
Désactiver l'espace Travail et, après un nombre de jours spécifié, désactiver le terminal
142
Configuration des exigences de mot de passe pour Android
Il existe quatre groupes de règles de stratégie informatique pour les mots de passe Android. Le groupe de règles que vous
utilisez dépend du type d'activation du terminal et si vous configurez des exigences pour le mot de passe du terminal ou pour le
mot de passe de l'espace Travail.
Type d'activation
Contrôles MDM
Utilisez les règles de mot de passe du système d'exploitation natif pour définir les
exigences de mot de passe du terminal.
Toutes les autres règles de mot de passe sont ignorées par le terminal.
Contrôles MDM (KNOX MDM)
Utilisez les règles de mot de passe KNOX MDM pour configurer les exigences de
mot de passe du terminal.
Espace Travail uniquement (Samsung
KNOX)
Utilisez les règles de mot de passe de KNOX Premium - Espace Travail pour définir
les exigences de mot de passe pour l'espace Travail.
(Samsung KNOX)
Utilisez les règles de mot de passe KNOX MDM pour configurer les exigences de
mot de passe du terminal.
l'utilisateur (Samsung KNOX)
Vous n'avez aucun contrôle sur le mot de passe du terminal.
Espace Travail uniquement (Android for
Work)
exigences de mot de passe pour l'espace Travail.
Work - Premium)
l'utilisateur (Android for Work)
Vous n'avez aucun contrôle sur le mot de passe du terminal.
l'utilisateur (Android for Work Premium)
exigences de mot de passe pour l'espace Travail.
143
Type d'activation
(Secure Work Space)
exigences de mot de passe du terminal.
Les règles de mots de passe de KNOX MDM sont ignorées par le terminal, sauf si ce
type d'activation est utilisé avec un terminal Samsung KNOX.
Les règles de mot de passe de KNOX Workspace sont ignorées par le terminal.
Vous n'avez aucun contrôle sur le mot de passe du terminal. Les règles de mot de
passe du système d'exploitation natif sont ignorées par le terminal.
Les règles de mot de passe de KNOX MDM et KNOX Workspace sont ignorées par le
terminal.
Android : règles de mot de passe du système d'exploitation natif
Les règles de mot de passe du système d'exploitation natif définissent les exigences de mot de passe des terminaux dotés des
types d'activation suivants :
•
Contrôles MDM (sans Samsung KNOX)
•
Les règles de mot de passe du système d'exploitation natif définissent les exigences de mot de passe de l'espace Travail des
•
•
•
•
Règle
Description
Exigences en matière de mot
de passe
Précisez les exigences minimum pour le mot de passe. Vous pouvez choisir l'une des options
suivantes :
•
Non spécifié : aucun mot de passe requis
•
Quelque chose : l'utilisateur doit définir un mot de passe, mais il n'existe aucune
exigence de longueur ni de qualité
144
Règle
Description
•
Numérique : le mot de passe doit inclure au moins un chiffre
•
Alphabétique : le mot de passe doit inclure au moins une lettre
•
Alphanumérique : le mot de passe doit inclure au moins une lettre et un chiffre
•
Complexe : vous pouvez définir des exigences spécifiques pour différents types de
caractères
Nombre maximum d'échecs Spécifiez le nombre d'échecs de tentatives de saisie du mot de passe à l'issue desquels le
de tentatives de saisie du mot terminal doit être nettoyé ou désactivé.
de passe
Les terminaux avec une activation "Commandes MDM" et "Travail et Personnel - Contrôle total
(Secure Work Space)" sont nettoyés.
Les terminaux dotés des types d'activation "Travail et Personnel - confidentialité de
l'utilisateur (Android for Work)" et "Travail et Personnel - confidentialité de l'utilisateur
(Android for Work - Premium)" sont désactivés et le profil de travail est supprimé.
Délai d'inactivité maximal
avant verrouillage
Spécifiez le nombre de minutes d'inactivité de l'utilisateur à l'issue de laquelle le terminal ou
l'espace Travail se verrouille. Cette règle est ignorée si aucun mot de passe n'est requis.
passe
Spécifiez le délai maximum pendant lequel le mot de passe peut être utilisé. Passé ce délai,
l'utilisateur doit définir un nouveau mot de passe. S'il est défini sur 0, le mot de passe n'expire
pas.
Restriction d'historique du
mot de passe
Spécifiez le nombre maximum de mots de passe précédents que le terminal vérifie pour
empêcher un utilisateur de réutiliser un mot de passe numérique, alphabétique,
alphanumérique ou complexe récent. S'il est défini sur 0, le terminal ne vérifie pas les mots de
passe précédents.
Longueur minimale du mot de Spécifiez le nombre minimal de caractères pour un mot de passe numérique, alphabétique,
passe
alphanumérique ou complexe.
Nombre minimum de lettres
majuscules requises dans le
mot de passe
Spécifiez le nombre minimum de lettres majuscules que doit contenir un mot de passe
complexe.
minuscules requises dans le
mot de passe
Spécifiez le nombre minimum de lettres minuscules que doit contenir un mot de passe
complexe.
requises dans un mot de
passe
Spécifiez le nombre minimum de lettres que doit contenir un mot de passe complexe.
145
Règle
Description
Nombre minimum de
Spécifiez le nombre minimum de caractères non alphabétiques (nombres ou symboles) que
caractères non alphabétiques doit contenir un mot de passe complexe.
requis dans le mot de passe
Nombre minimum de chiffres
requis dans un mot de passe
Spécifiez le nombre minimum de chiffres que doit contenir un mot de passe complexe.
Nombre de symboles
minimum requis dans un mot
de passe
Spécifiez le nombre minimum de caractères non-alphanumériques que doit contenir un mot
de passe complexe.
Android : règles de mot de passe de KNOX MDM
Les règles de mot de passe de KNOX MDM définissent les exigences de mot de passe du terminal pour les terminaux dotés des
•
Contrôles MDM (KNOX MDM)
•
•
Travail et Personnel - Contrôle total (Secure Work Space) : seulement si ce type d'activation est utilisé avec un
terminal Samsung KNOX
Les terminaux dotés de ces types d'activation doivent avoir un mot de passe de terminal.
Règle
Description
de passe
suivantes :
•
•
•
•
caractères
Longueur minimale du mot de Précisez la longueur minimale du mot de passe. Le mot de passe doit contenir au moins
passe
4 caractères.
146
Règle
Description
mot de passe
complexe.
mot de passe
complexe.
Nombre minimum de
caractères complexes requis
dans un mot de passe
Spécifiez le nombre minimum de caractères complexes (par exemple, nombres ou symboles)
que doit contenir un mot de passe complexe. Si vous définissez cette valeur sur 1, au moins
un chiffre est requis. Si vous spécifiez une valeur supérieure à 1, au moins un chiffre et un
symbole sont requis.
Longueur maximum de la
séquence de caractères
Spécifiez la longueur maximale d'une séquence alphabétique autorisée dans un mot de passe
alphabétique, alphanumérique ou complexe. Par exemple, si la longueur est définie sur 5, la
séquence alphabétique "abcde" est autorisée, mais pas la séquence "abcdef". Si elle est
définie sur 0, il n'y a aucune restriction de séquence alphabétique.
avant verrouillage
Spécifiez le délai d'inactivité à l'issue duquel le terminal doit se verrouiller. Si le terminal est
géré par plusieurs solutions EMM, la valeur la plus faible est utilisée comme délai d'inactivité.
Si le terminal utilise un mot de passe, l'utilisateur doit saisir celui-ci pour le déverrouiller. Si ce
délai est défini sur 0, le terminal ne dispose d'aucun délai d'inactivité.
Nombre maximum d'échecs Spécifiez le nombre d'échecs de tentatives de saisie du mot de passe à l'issue desquels le
de tentatives de saisie du mot terminal doit être nettoyé.
de passe
mot de passe
empêcher un utilisateur de réutiliser un mot de passe récent. S'il est défini sur 0, le terminal
ne vérifie pas les mots de passe précédents.
passe
Spécifiez le délai maximum pendant lequel le mot de passe du terminal peut être utilisé.
Autoriser la visibilité du mot
de passe
Spécifiez si le mot de passe du terminal est visible lorsque l'utilisateur le saisit. Si cette règle
n'est pas sélectionnée, les utilisateurs et les applications tierces ne peuvent pas modifier la
configuration de la visibilité.
Autoriser l'authentification
par empreinte digitale
Spécifiez si l'utilisateur peut utiliser l'authentification par empreintes digitales pour le
terminal.
147
Android : KNOX Premium - Règles de mot de passe de l'espace Travail
Les règles de mot de passe KNOX Premium - Espace Travail définissent les exigences de mot de passe de l'espace Travail des
•
•
•
Travail et Personnel - Confidentialité de l'utilisateur (Samsung KNOX)
Règle
Description
de passe
suivantes :
•
•
Numérique complexe : le mot de passe doit inclure au moins un chiffre, sans séquences
répétées (4444) ni dans l'ordre (1234, 4321, 2468)
•
•
•
caractères
mot de passe
complexe.
mot de passe
complexe.
Nombre minimum de
caractères complexes requis
dans un mot de passe
Spécifiez le nombre minimum de caractères complexes (par exemple, nombres ou symboles)
que doit contenir un mot de passe complexe. Au moins trois caractères complexes sont
requis, y compris au moins un nombre et un symbole.
Longueur maximum de la
séquence de caractères
Spécifiez la longueur maximale d'une séquence alphabétique autorisée dans un mot de passe
alphabétique, alphanumérique ou complexe. Par exemple, si la longueur est définie sur 5, la
séquence alphabétique "abcde" est autorisée, mais pas la séquence "abcdef". Si elle est
définie sur 0, il n'y a aucune restriction de séquence alphabétique.
148
Règle
Description
Longueur minimale du mot de Précisez la longueur minimale du mot de passe. Si vous saisissez une valeur inférieure au
passe
minimum requis par KNOX Workspace, la valeur minimum de KNOX Workspace est utilisée.
avant verrouillage
Spécifiez la période d'inactivité de l'utilisateur dans l'espace Travail avant le verrouillage de
l'espace Travail. Si elle est définie sur 0, l'espace Travail ne dispose d'aucune période
d'inactivité.
de tentatives de saisie du mot de l'espace Travail. S'il est défini sur 0, il n'existe aucune restriction du nombre de tentatives
de passe
de saisie du mot de passe pour un utilisateur.
mot de passe
empêcher un utilisateur de réutiliser un mot de passe récent. S'il est défini sur 0, le terminal
ne vérifie pas les mots de passe précédents.
passe
Nombre minimum de
caractères modifiés pour les
nouveaux mots de passe
Spécifiez le nombre minimum de caractères modifiés que doit contenir un nouveau mot de
passe par rapport au précédent. Si vous définissez cette règle sur 0, aucune restriction ne
s'applique.
Autoriser les verrouillages
personnalisés
Spécifiez si le terminal est autorisé à utiliser des verrouillages personnalisés, comme des
agents d'approbation. Si cette règle n'est pas sélectionnée, les verrouillages personnalisés
sont désactivés.
Autoriser les agents
d'approbation de verrouillage
Spécifiez si l'utilisateur peut maintenir l'espace Travail déverrouillé pendant 2 heures à l'issue
du délai d'inactivité maximum de l'espace Travail. Si vous ne définissez aucune valeur de délai
d'inactivité, l'utilisateur peut effectuer cette action par défaut.
Autoriser la visibilité du mot
de passe
Spécifiez si le mot de passe du terminal est visible lorsque l'utilisateur le saisit. Si cette règle
n'est pas sélectionnée, les utilisateurs et les applications tierces ne peuvent pas modifier la
configuration de la visibilité.
Appliquer l'authentification à
deux facteurs
Spécifiez si l'utilisateur doit utiliser l'authentification à deux facteurs pour accéder à l'espace
Travail. Par exemple, vous pouvez utiliser cette règle si vous souhaitez que l'utilisateur
s'authentifie à l'aide d'une empreinte et d'un mot de passe.
Autoriser l'authentification
par empreinte digitale
Spécifiez si l'utilisateur peut utiliser l'authentification par empreintes digitales pour accéder à
l'espace Travail.
149
Android : exigences de mot de passe de Secure Work Space
Les règles de mot de passe de Secure Work Space définissent les exigences de mot de passe de l'espace Travail des terminaux
dotés des types d'activation suivants :
•
•
Règle
Description
avec caractères séquentiels et DEFG ou 3333.
répétés
Lettres requises
Spécifiez si le mot de passe doit contenir des lettres. Si vous sélectionnez cette règle, vous
pouvez spécifier le nombre minimum de lettres que le mot de passe doit contenir.
Lettres minuscules requises
Spécifiez si le mot de passe doit contenir des lettres minuscules. Si vous sélectionnez cette
règle, vous pouvez spécifier le nombre minimum de lettres minuscules que le mot de passe
doit contenir.
Chiffres requis
Spécifiez si le mot de passe doit contenir des chiffres. Si vous sélectionnez cette règle, vous
pouvez spécifier le nombre minimum de chiffres que le mot de passe doit contenir.
Caractères spéciaux requis
Spécifiez si le mot de passe doit contenir des caractères spéciaux. Si vous sélectionnez cette
règle, vous pouvez spécifier le nombre minimum de caractères spéciaux que le mot de passe
doit contenir.
Lettres majuscules requises
Spécifiez si le mot de passe doit contenir des lettres majuscules. Si vous sélectionnez cette
règle, vous pouvez spécifier le nombre minimum de lettres majuscules que le mot de passe
doit contenir.
Limite de longueur du mot de
passe
Spécifiez si le mot de passe a une longueur minimale et maximale. Si vous sélectionnez cette
règle, vous pouvez spécifier le nombre minimum et maximum de caractères que le mot de
passe doit contenir.
passe
Limite de réutilisation
d'anciens mots de passe
Précisez si un utilisateur peut réutiliser les mots de passe précédents. Si vous sélectionnez
cette règle, spécifiez le nombre de mots de passe précédents que le terminal vérifie pour
empêcher un utilisateur de réutiliser un mot de passe récent.
150
Règle
Description
Verrouiller l'espace Travail au
verrouillage du terminal
Spécifiez si le terminal doit se verrouiller à l'issue d'une période d'inactivité dans l'espace
Travail.
Si un utilisateur se trouve dans l'espace Travail, le terminal se verrouille après la période
d'inactivité spécifiée ; sinon le terminal se verrouille après la période d'inactivité spécifiée
dans les paramètres de verrouillage automatique du terminal. Si une application de l'espace
Travail est ouverte lorsque le délai d'inactivité est écoulé, l'espace Travail se verrouille, mais le
terminal ne se verrouille pas et l'écran ne s'éteint pas.
Si vous sélectionnez cette règle, vous pouvez spécifier la période d'inactivité dans l'espace
Travail qui doit s'écouler avant le verrouillage du terminal.
Verrouiller le terminal après
inactivité dans l'espace
Travail
Spécifiez si le terminal doit se verrouiller à l'issue d'une période d'inactivité de l'espace
Travail. Lorsque l'utilisateur se trouve dans l'espace Travail, le terminal se verrouille à l'issue
de la période d'inactivité spécifiée. Sinon, le terminal se verrouille après la période d'inactivité
spécifiée dans les paramètres de verrouillage automatique du terminal. Si vous configurez la
règle "Verrouiller le terminal après inactivité dans l'espace Travail", l'espace Travail se
verrouille lorsqu'une application de l'espace Travail est ouverte. Le terminal ne se verrouille
pas et l'écran ne s'éteint pas.
après inactivité
Spécifiez la période d'inactivité dans l'espace Personnel qui doit s'écouler avant le
verrouillage de l'espace Travail.
Limite du nombre de
tentatives de mots de passe
incorrects
Précisez si un terminal limite le nombre de tentative de mot de passe d'un utilisateur de
l'espace Travail. Si vous sélectionnez cette règle, spécifiez le nombre de tentatives de saisie
de mot de passe possibles pour l'espace Travail et l'action qui se produit lorsque la limite est
atteinte. Le terminal peut effectuer les opérations suivantes :
•
Désactiver l'espace Travail jusqu'à sa restauration par un administrateur
•
Désactiver le terminal, qui supprime toutes les données de l'espace Travail
•
Désactiver l'espace Travail et, après un nombre de jours spécifié, désactiver le terminal
Configuration des exigences de mot de passe pour Windows
Vous pouvez choisir si les terminaux Windows doivent avoir un mot de passe. Si vous nécessitez un mot de passe, vous pouvez
définir les exigences de ce mot de passe.
151
Règle
Description
Mot de passe requis pour le
terminal
Spécifiez si l'utilisateur doit définir un mot de passe pour le terminal.
simples
DEFG ou 3333.
Longueur minimale du mot de Précisez la longueur minimale du mot de passe. Le mot de passe doit contenir au moins
passe
4 caractères.
Complexité du mot de passe
Spécifiez la complexité du mot de passe. Vous pouvez choisir les options suivantes :
•
Alphanumérique : le mot de passe doit contenir des lettres et des chiffres
•
Numérique : le mot de passe doit contenir uniquement des chiffres
Nombre minimum de types de Spécifiez le nombre minimum de types de caractères que doit contenir un mot de passe
caractères
alphanumérique. Vous avez le choix entre les options suivantes :
1.
Chiffres requis
2.
Chiffres et lettres minuscules requis
3.
Chiffres, lettres minuscules et lettres majuscules requis
4.
Chiffres, lettres minuscules, lettres majuscules et caractères spéciaux requis
Les exigences relatives aux caractères du mot de passe pour les tablettes et ordinateurs
Windows 10 dépendent du type de compte d'utilisateur, et non de ce paramètre.
Expiration du mot de passe
Spécifiez le nombre maximum de jours pendant lesquels le mot de passe peut être utilisé. S'il
est défini sur 0, le mot de passe n'expire pas.
Historique de mot de passe
utilisateur de réutiliser un mot de passe récent. S'il est défini sur 0, le terminal ne vérifie pas
les mots de passe précédents.
de tentatives de saisie du mot du terminal. S'il est défini sur 0, le terminal n'est pas réinitialisé, quel que soit le nombre de
de passe
fois où l'utilisateur saisit un mot de passe incorrect.
Cette règle ne s'applique pas aux terminaux qui autorisent plusieurs comptes d'utilisateur, y
compris les tablettes et ordinateurs Windows 10.
avant verrouillage
Spécifiez la période d'inactivité de l'utilisateur à l'issue de laquelle le terminal se verrouille. S'il
est défini sur 0, le terminal ne se verrouille pas automatiquement.
152
Règle
Description
Autoriser l'accès sans mot de
passe
Spécifiez si l'utilisateur doit saisir le mot de passe à l'issue de la période de grâce associée au
délai d'inactivité. Si cette règle est sélectionnée, l'utilisateur peut définir la période de grâce
du mot de passe sur le terminal. Cette règle ne s'applique pas aux ordinateurs et tablettes
Windows 10.
Pour plus d'informations sur les règles du mot de passe de la stratégie informatique, éléchargez la Feuille de référence des
Comment BES12 choisit la stratégie
informatique à attribuer
BES12 envoie une seule stratégie informatique à un terminal et utilise des règles prédéfinies pour déterminer la stratégie
informatique à attribuer à un utilisateur et les terminaux que l'utilisateur active.
Attribué à
Règles
Compte d'utilisateur
1.
Une stratégie informatique directement attribuée à un compte d'utilisateur est prioritaire
sur une stratégie informatique attribuée indirectement par groupe d'utilisateurs.
2.
Si un utilisateur est membre de plusieurs groupes d'utilisateurs dotés de stratégies
informatiques différentes, BES12 attribue la stratégie informatique avec le rang le plus
élevé.
3.
La stratégie informatique par défaut est attribuée si aucune stratégie informatique n'est
attribuée à un compte d'utilisateur directement ou par appartenance aux groupes
d'utilisateurs.
(afficher l'onglet Synthèse)
Terminal
(afficher l'onglet Terminal)
Par défaut, un terminal hérite de la stratégie informatique attribuée par BES12 à l'utilisateur
qui active le terminal. Si un terminal appartient à un groupe de terminaux, les règles suivantes
s'appliquent :
1.
Une stratégie informatique attribuée à un groupe de terminaux est prioritaire sur la
stratégie informatique attribuée par BES12 à un compte d'utilisateur.
2.
Si un terminal est membre de plusieurs groupes de terminaux dotés de stratégies
informatiques différentes, BES12 attribue la stratégie informatique avec le rang le plus
élevé.
BES12 peut devoir résoudre des stratégies informatiques en conflit lorsque vous effectuez l'une des opérations suivantes :
•
Attribuer une stratégie informatique à un compte d'utilisateur, groupe d'utilisateurs ou groupe de terminaux
153
•
Supprimer une stratégie informatique d'un compte d'utilisateur, groupe d'utilisateurs ou groupe de terminaux
•
Modifier le classement d'une stratégie informatique
•
Supprimer une stratégie informatique
•
Modifier l'appartenance à un groupe d'utilisateurs (comptes d'utilisateur et groupes imbriqués)
•
Modifier les attributs des terminaux
•
Modifier l'appartenance à un groupe de terminaux
•
Supprimer un groupe d'utilisateurs ou un groupe de terminaux
Classer les stratégies informatiques, à la page 155
Création et gestion des stratégies informatiques
Vous pouvez utiliser la stratégie informatique par défaut ou créer des stratégies informatiques personnalisées (pour spécifier les
règles de stratégie informatique pour différents groupes d'utilisateurs de votre organisation, par exemple). Si vous prévoyez
d'utiliser la stratégie informatique par défaut, il vous est conseillé de l'examiner et, si nécessaire, de la mettre à jour pour veiller
à ce que les règles respectent les normes de sécurité de votre organisation.
Créer une stratégie informatique
1.
2.
Cliquez sur
3.
Saisissez le nom et la description de la stratégie informatique.
4.
Cliquez sur l'onglet correspondant à chaque type de terminal de votre organisation et configurez les valeurs appropriées
pour les règles de stratégie informatique.
en regard de Stratégies informatiques.
Maintenez la souris sur le nom d'une règle pour afficher des conseils d'aide.
5.
À la fin: classez les stratégies informatiques.
Attribuer une stratégie informatique à un groupe d'utilisateurs, à la page 202
Attribuer une stratégie informatique à un compte d'utilisateur, à la page 221
Copier une stratégie informatique
Vous pouvez copier les stratégies informatiques existantes pour créer rapidement des stratégies informatiques personnalisées
destinées aux différents groupes de votre entreprise.
154
1.
2.
Dans le volet de gauche, développez Stratégies informatiques.
3.
Cliquez sur le nom de la stratégie informatique que vous souhaitez copier.
4.
Cliquez sur
5.
Saisissez le nom et la description de la nouvelle stratégie informatique.
6.
7.
.
À la fin: classez les stratégies informatiques.
Classer les stratégies informatiques
Le classement est utilisé pour déterminer la stratégie informatique envoyée par BES12 à un terminal dans les scénarios
suivants :
•
Un utilisateur est membre de plusieurs groupes d'utilisateurs présentant des stratégies informatiques différentes.
•
Un terminal est membre de plusieurs groupes de terminaux présentant des stratégies informatiques différentes.
1.
2.
3.
Cliquez sur Classer les stratégies informatiques.
4.
Utilisez les flèches pour déplacer les stratégies informatiques vers le haut ou le bas du classement.
5.
Comment BES12 choisit la stratégie informatique à attribuer, à la page 153
Afficher une stratégie informatique
Vous pouvez afficher les informations suivantes sur une stratégie informatique :
•
Règles de stratégie informatique spécifiques à chaque type de terminal
•
Liste et nombre de comptes d'utilisateur auxquels est attribuée la stratégie informatique (directement et
indirectement)
•
Liste et nombre de groupes d'utilisateurs auxquels est attribuée la stratégie informatique (directement)
1.
2.
155
3.
Cliquez sur le nom de la stratégie informatique que vous souhaitez afficher.
Modifier une stratégie informatique
1.
2.
3.
Cliquez sur le nom de la stratégie informatique que vous souhaitez modifier.
4.
Cliquez sur
5.
6.
.
À la fin: si nécessaire, modifiez le classement de la stratégie informatique.
Classer les stratégies informatiques, à la page 155
Supprimer une stratégie informatique de comptes d'utilisateur
ou groupes d'utilisateurs
Si une stratégie informatique est directement attribuée à des comptes d'utilisateur ou à des groupes d'utilisateurs, vous pouvez
la supprimer des utilisateurs ou des groupes. Si une stratégie informatique est indirectement attribuée par un groupe
d'utilisateurs, vous pouvez supprimer la stratégie informatique du groupe ou supprimer les comptes d'utilisateur du groupe.
Lorsque vous supprimez une stratégie informatique de groupes d'utilisateurs, la stratégie informatique est supprimée de
chaque utilisateur appartenant aux groupes sélectionnés.
Remarque: la stratégie informatique par défaut peut uniquement être supprimée d'un compte d'utilisateur si vous l'avez
directement attribuée à l'utilisateur.
1.
2.
3.
Cliquez sur le nom de la stratégie informatique que vous souhaitez supprimer des comptes d'utilisateur ou des groupes
d'utilisateurs.
4.
Tâche
Étapes
de comptes d'utilisateur
1.
Cliquez sur l'onglet Attribué aux utilisateurs.
2.
Si nécessaire, recherchez les comptes d'utilisateur.
156
Tâche
Étapes
de groupes d'utilisateurs
3.
Sélectionnez les comptes d'utilisateur desquels vous souhaitez supprimer
la stratégie informatique.
4.
Cliquez sur
1.
Cliquez sur l'onglet Attribué aux groupes.
2.
Si nécessaire, recherchez les groupes d'utilisateurs.
3.
Sélectionnez les groupes d'utilisateurs desquels vous souhaitez supprimer
la stratégie informatique.
4.
Cliquez sur
.
.
Vous ne pouvez pas supprimer la stratégie informatique par défaut. Lorsque vous supprimez une stratégie informatique
personnalisée, BES12 supprime la stratégie informatique des utilisateurs et des terminaux auxquels elle a été attribuée.
1.
2.
3.
Cliquez sur le nom de la stratégie informatique que vous souhaitez supprimer.
4.
Cliquez sur
5.
.
Exporter des stratégies informatiques
Vous pouvez exporter des stratégies informatiques vers un fichier .xml à des fins d'audit.
Remarque:
Les profils qui sont associés à des stratégies informatiques ne sont pas exportés.
1.
2.
Cliquez sur
.
157
3.
Sélectionnez les cases à cocher des stratégies informatiques que vous souhaitez exporter.
4.
Cliquez sur Suivant.
5.
Cliquez sur Exporter.
158
Applications
Applications
10
Vous pouvez créer une bibliothèque des applications que vous souhaitez gérer et surveiller sur les terminaux BlackBerry 10,
iOS, Android et Windows. Pour gérer les applications, vous pouvez les ajouter à la liste des applications et les attribuer à des
comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux.
Pour gérer des applications, procédez comme suit :
Étape
Action
Ajoutez les applications publiques et internes que vous souhaitez gérer à la liste des applications.
Créez des groupes d'applications pour gérer simultanément plusieurs applications ou pour gérer des
applications sur les terminauxAndroid for Work.
Attribuez des applications ou des groupes d'applications aux comptes d'utilisateur, groupes
d'utilisateurs ou groupes de terminaux pour permettre aux utilisateurs de les installer.
Ajout et suppression d'applications à partir de la
liste des applications
La liste des applications contient toutes les applications que vous pouvez attribuer aux utilisateurs, groupes d'utilisateurs et
groupes de terminaux. Les applications répertoriées avec une icône de verrouillage correspondent aux applications sécurisées
pouvant être installées dans l'espace Travail sur les terminaux iOS et Android avec Secure Work Space. Les applications
répertoriées avec une icône de verrouillage rouge sont des applications Good Dynamics.
Ajout d'applications publiques à la liste des applications
Une application publique est à une application disponible auprès de la boutique BlackBerry World, de la boutique en ligne App
Store, de la boutique Google Play ou de Windows Store.
Ajouter une application BlackBerry à la liste des applications
1.
Sur la barre de menus, cliquez sur Applications.
2.
Cliquez sur
.
159
Applications
3.
Cliquez sur BlackBerry World.
4.
Dans le champ de recherche, recherchez l'application que vous souhaitez ajouter. Vous pouvez rechercher une
application par nom, fournisseur ou URL BlackBerry World.
5.
Dans la liste déroulante, sélectionnez le pays du magasin dans lequel vous souhaitez effectuer la recherche.
6.
Cliquez sur Rechercher.
7.
Dans les résultats de la recherche, cliquez sur Ajouter pour ajouter une application.
8.
Pour filtrer par catégorie les applications BlackBerry dans la liste d'applications, vous pouvez sélectionner une catégorie
pour l'application. Dans la liste déroulante Catégorie, effectuez l'une des opérations suivantes :
Option
9.
Description
Sélectionner une catégorie pour 1.
l'application
Dans la liste déroulante, sélectionnez une catégorie.
Créer une catégorie pour
l'application
1.
Saisissez un nom pour la catégorie. La nouvelle catégorie apparait dans la liste
déroulante avec la mention « Nouvelle catégorie ».
2.
Appuyez sur la touche Entrée.
3.
Dans l'écran d'informations sur l'application, cliquez sur Ajouter.
Attribuer une application à un groupe d'utilisateurs, à la page 203
Attribuer une application à un compte d'utilisateur, à la page 223
Ajouter une application iOS à la liste des applications
1.
2.
Cliquez sur
3.
Cliquez sur Boutique d'applications.
4.
Dans le champ de recherche, recherchez l'application que vous souhaitez ajouter. Vous pouvez rechercher une
application par nom, fournisseur ou URL App Store.
5.
Dans la liste déroulante, sélectionnez le pays du magasin dans lequel vous souhaitez effectuer la recherche.
6.
7.
8.
Pour filtrer, par catégorie, les applications figurant dans la liste des applications et les organiser en catégories dans la liste
Applications professionnelles sur les terminaux des utilisateurs, vous pouvez sélectionner une catégorie pour l'application.
Dans la liste déroulante Catégorie, effectuez l'une des opérations suivantes :
.
160
Applications
Option
9.
Description
l'application
l'application
1.
Saisissez un nom pour la catégorie. La « nouvelle catégorie » apparait dans la
liste déroulante, accompagnée de l'étiquette « nouvelle catégorie ».
2.
3.
Dans la liste déroulante Facteur de forme du terminal pris en charge, sélectionnez les facteurs de forme sur lesquels
l'application peut être installée. Par exemple, vous pouvez empêcher l'accès à l'application dans les applications
professionnelles pour iPad.
10. Si vous souhaitez supprimer l'application du terminal lorsque celui-ci est supprimé de BES12, sélectionnez Supprimer
l'application du terminal lorsque celui-ci est supprimé de BES12. Cette option s'applique uniquement aux applications
dotées d'une disposition marquée comme requise et l'installation par défaut des applications requises est définie sur une
seule demande.
11. Si vous souhaitez empêcher la sauvegarde des applications des terminaux iOS sur le service en ligne iCloud, sélectionnez
Désactiver la sauvegarde iCloud pour l'application. Cette option s'applique uniquement aux applications dotées d'une
disposition marquée comme requise. Vous pouvez définir la disposition de l'application lorsque vous attribuez
l'application à un utilisateur ou à un groupe.
12. Dans la liste déroulante Installation par défaut des applications requises, effectuez l'une des opérations suivantes :
•
Si vous souhaitez que les utilisateurs reçoivent une demande d'installation de l'application sur leurs terminaux
iOS, sélectionnez Demander une fois. Si les utilisateurs rejettent cette demande, ils peuvent installer
l'application ultérieurement via l'écran Applications professionnelles de l'application Good for BES12 ou l'icône
Applications professionnelles du terminal.
•
Si vous ne souhaitez pas que les utilisateurs reçoivent d'invite, sélectionnez Aucune invite.
La méthode d'installation par défaut s'applique uniquement aux applications dotées d'une disposition marquée comme
requise. Vous pouvez définir la disposition de l'application lorsque vous attribuez l'application à un utilisateur ou à un
groupe.
13. Dans la liste déroulante Convertissez une application personnelle installée en application professionnelle, sélectionnez
l'une des options suivantes :
•
Pour convertir l'application en application professionnelle, si elle est déjà installée sur des terminaux iOS 9 ou
version ultérieure, sélectionnez Convertir pour convertir l'application. Une fois que vous avez affecté
l'application à un utilisateur, celle-ci est convertie en application professionnelle et peut être gérée par BES12.
•
Si vous ne souhaitez pas convertir l'application en application professionnelle, si elle est déjà installée sur des
terminaux iOS 9 ou version ultérieure, sélectionnez Ne pas convertir. Une fois que vous avez affecté
l'application à un utilisateur, celle-ci ne peut pas être gérée par BES12.
161
Applications
14. S'il est possible de préconfigurer les paramètres de l'application (informations de connexion, par exemple), et si vous
souhaitez le faire, obtenez les détails de configuration auprès de l'éditeur et effectuez les opérations suivantes :
a.
Dans le tableau Configuration de l'application, cliquez sur
b.
Saisissez un nom dans le champ Nom de la configuration de l'application.
c.
Cliquez sur
d.
Saisissez le nom de clé pour le paramètre et la valeur que vous souhaitez définir.
e.
Répétez les étapes c et d pour chaque paramètre que vous voulez configurer.
f.
.
, puis sélectionnez un type de valeur pour le paramètre.
Ajouter une application Android à la liste des applications
Ajoutez uniquement les applications à la liste des applications disponibles. Les films, la musique et les journaux ne peuvent pas
être remis aux terminaux. Si vous attribuez un support à un utilisateur et définissez la disposition de ce support sur requis, le
terminal est soumis à l'action d'application définie dans le profil de conformité qui lui est attribué.
1.
2.
Cliquez sur
3.
Cliquez sur Google Play.
4.
Cliquez sur Ouvrir Google Play et recherchez l'application que vous souhaitez ajouter. Vous pouvez ensuite copier et coller
les informations depuis Google Play dans les étapes suivantes et télécharger des icônes et captures d'écran.
5.
Dans le champ Nom de l'application, saisissez le nom de l'application.
6.
Dans le champ Description de l'application, saisissez la description de l'application.
7.
Pour filtrer, par catégorie, les applications figurant dans la liste des applications et les organiser en catégories dans la liste
.
Option
Description
l'application
l'application
1.
Saisissez un nom pour la catégorie. La « nouvelle catégorie » apparait dans la
liste déroulante, accompagnée de l'étiquette « nouvelle catégorie ».
2.
162
Applications
Option
Description
3.
8.
Dans le champ Éditeur, indiquez le nom du fournisseur de l'application.
9.
Dans le champ Icône de l'application, cliquez sur Parcourir. Localisez une icône pour l'application et sélectionnez-la. Les
formats .png, .jpg, .jpeg ou .gif sont pris en charge N'utilisez pas Google Chrome pour télécharger l'icône car
l'image .webp téléchargée n'est pas compatible.
10. Dans le champ Adresse Web de l'application sur Google Play, saisissez l'adresse Web de l'application dans Google Play.
11. Pour ajouter les captures d'écran de l'application, cliquez sur Ajouter et accédez aux captures d'écran. Les
formats .jpg, .jpeg, .png ou .gif sont pris en charge
12. Dans la liste déroulante Envoyer à, effectuez l'une des opérations suivantes :
•
Si vous souhaitez que l'application soit envoyée à tous les terminaux Android, sélectionnez Tous les appareils
Android .
•
Si vous souhaitez que l'application soit uniquement envoyée aux terminaux Android utilisant Samsung KNOX
Workspace, sélectionnez Terminaux KNOX Workspace uniquement.
Ajouter une application Android à la liste des applications si BES12 est connecté à un
domaine Google
Si vous avez configuré une connexionAndroid for Work, vous pouvez gérer les applications sur tous les terminauxAndroid, y
compris les terminaux utilisantAndroid for Work. Pour plus d'informations sur la configuration deBES12pour prendre en
chargeAndroid for Work,consultez le contenu relatif à la configuration.
1.
2.
Cliquez sur
3.
4.
Dans le champ URL de l'application sur Google Play, saisissez l'adresse Web de l'application dans Google Play.
5.
6.
7.
Cliquez sur Accepter pour accepter les autorisations de l'application au nom des utilisateurs. Vous devez accepter les
autorisations des applications au nom des utilisateurs pour permettre l'installation automatique des applications requises
.
163
Applications
sur les terminaux Android for Work. Si vous n'acceptez pas les autorisations des applications au nom des utilisateurs,
l'application ne peut pas être gérée dans BES12.
8.
9.
Pour ajouter les captures d'écran de l'application, cliquez sur Ajouter et accédez aux captures d'écran. Les
10. Dans la liste déroulante Envoyer à, effectuez l'une des opérations suivantes :
•
Android .
•
Workspace, sélectionnez Terminaux Samsung KNOX Workspace.
•
Si vous souhaitez que l'application soit envoyée uniquement aux terminaux Android for Work, sélectionnez
Terminaux exécutant Android for Work.
11. Pour filtrer, par catégorie, les applications figurant dans la liste des applications et les organiser en catégories dans la liste
Option
Description
l'application
l'application
1.
Saisissez un nom pour la catégorie. La nouvelle catégorie apparait dans la liste
déroulante, accompagnée de l'étiquette « nouvelle catégorie ».
2.
3.
12. Le tableau de configuration de l'application s'affiche uniquement en présence de paramètres de configuration pour
l'application. Dans le tableau de configuration de l'application, cliquez sur
pour ajouter une configuration
d'application.
13. Si nécessaire, saisissez le nom de la configuration de l'application et spécifiez les paramètres de configuration à utiliser.
Ajouter une application Windows Phone à la liste des applications
1.
2.
Cliquez sur
3.
Cliquez sur Windows Store > 8.
.
164
Applications
4.
Cliquez sur Ouvrir Windows Store et recherchez l'application que vous souhaitez ajouter. Vous pouvez ensuite copier et
coller les informations depuis Windows Store dans les étapes suivantes et télécharger des icônes et captures d'écran.
5.
6.
Dans le champ Description de l'application, saisissez la description de l'application.
7.
Dans le champ Éditeur, indiquez le nom du fournisseur de l'application.
8.
Dans le champ Icône de l'application, cliquez sur Parcourir. Localisez une icône pour l'application et sélectionnez-la. Les
formats .png, .jpg, .jpeg ou .gif sont pris en charge
9.
Dans le champ Adresse Web de l'application sur Windows Store, saisissez l'adresse Web de l'application dans Windows
Store. L'adresse Web doit commencer par « https ».
10. Pour ajouter les captures d'écran de l'application, cliquez sur Ajouter et accédez aux captures d'écran. Les
Ajouter une application Windows 10 à la liste des applications
Pour ajouter des applications Windows 10 à la liste d'applications, vous devez gérer votre catalogue d'applications dans
Windows Store pour Entreprises, puis synchroniser les applications avec BES12. Lorsque de nouvelles applications sont
ajoutées à votre catalogue d'applications, vous pouvez synchroniser les applications avec BES12 immédiatement ou attendre
que BES12 se synchronise automatiquement. BES12 synchronise le catalogue d'applications toutes les 24 heures.
Vous pouvez autoriser les utilisateurs à installer des applications en ligne ou hors ligne à partir du catalogue d'applications
Windows Store pour Entreprises. Les applications hors ligne sont téléchargées par BES12 lorsque vous les synchronisez avec le
catalogue d'applications. Il est recommandé d'utiliser les applications hors ligne étant donné qu'il est possible de les gérer
depuis BES12 et que les utilisateurs peuvent les installer sans se connecter à Windows Store pour Entreprises. Une fois les
applications installées, les terminaux reçoivent des mises à jour des applications de Windows Store.
Les applications en ligne sont téléchargées directement à partir de Windows Store pour Entreprises.
Avant de commencer:
•
Configurer BES12 pour une synchronisation avec Windows Store pour Entreprises Pour obtenir des
instructions,reportez-vous au contenu relatif à la configuration.
•
Si vous souhaitez que les utilisateurs puissent installer des applications en ligne, vous devez synchroniser votre
annuaire avec Microsoft Azure Active Directory à l'aide de Microsoft Azure AD Connect.
1.
2.
Cliquez sur
3.
Cliquez sur Windows Store > 10.
4.
Cliquez sur Synchroniser les applications.
.
165
Applications
Autorisation des utilisateurs à installer des applications en ligne
Pour que vous puissiez autoriser des utilisateurs à installer des applications en ligne, ces utilisateurs doivent déjà exister dans
votre annuaire Microsoft Azure et leur adresse électronique dans BES12 doit correspondre à leur adresse électronique dans
Microsoft Azure AD. Vous pouvez synchroniser votre annuaire avec Microsoft Azure à l'aide de Microsoft Azure AD Connect.
Pour plus d'informations sur l'utilisation de Microsoft Azure AD Connect, consultez la page https://azure.microsoft.com/en-us/
documentation/articles/active-directory-aadconnect/.
Ajout d'une catégorie d'application pour une application Windows 10
Après avoir défini une catégorie pour une application, vous pouvez filtrer par catégorie des applications dans la liste
d'applications et organiser en catégories les applications figurant sur la liste des applications professionnelles sur les terminaux
d'utilisateurs. Lorsqu'une application Windows 10 est synchronisée avec BES12, vous pouvez lui attribuer une catégorie
d'applications.
Avant de commencer: Ajouter une application Windows 10 à la liste des applications.
1.
2.
Cliquez sur l'application à laquelle vous souhaitez attribuer une catégorie d'application.
3.
Étape
Description
Sélectionner une catégorie pour l'application
1.
Créer une catégorie pour l'application
1.
Saisissez un nom pour la catégorie. Le message
« Nouvelle catégorie » apparait dans la liste
déroulante avec l'étiquette de la nouvelle catégorie à
côté.
2.
3.
4.
Ajout d'applications internes à la liste des applications
Les applications internes comprennent les applications propriétaires développées par votre organisation ou des applications
mises exclusivement à la disposition de votre organisation. Les applications internes ne sont pas ajoutées à partir des boutiques
d'applications publiques.
166
Applications
Les applications BlackBerry doivent correspondre à des fichiers .bar, les applications iOS à des fichiers .ipa, les applications
Android à des fichiers .apk et les applications Windows Phone à des fichiers .xap ou .appx. Les applications internes doivent
également être signées et non modifiées.
Les utilisateurs peuvent accéder aux applications internes sur leurs terminaux comme suit :
•
Sur les terminaux BlackBerry 10, dans l'onglet Applications d'entreprise de BlackBerry World for Work
•
Sur les terminaux iOS, dans la liste Applications professionnelles attribuées de l'application Good for BES12
•
Sur les terminaux Android et Windows Phone, dans la liste Applications professionnelles attribuées de BES12 Client
Étapes à suivre pour ajouter des applications internes à la liste des applications
Pour ajouter des applications internes, procédez comme suit :
Étape
Action
Si vous ajoutez des applications Windows Phone, téléchargez un AET.
Ajouter une application interne à la liste des applications.
Télécharger un jeton d'inscription d'application pour les terminaux Windows Phone
Il vous faut un jeton d'inscription d'application pour surveiller les applications Windows dans les profils de conformité.
1.
2.
Dans le volet de gauche, développez Gestion des applications.
3.
Cliquez sur Applications Windows Phone.
4.
Cliquez sur Parcourir et accédez au fichier d'inscription d'application que vous souhaitez télécharger.
5.
Ajouter une application interne à la liste des applications
Avant de commencer:
•
Si vous ajoutez des applications Windows Phone, téléchargez un AET.
1.
2.
Cliquez sur
3.
Cliquez sur Applications internes.
4.
Cliquez sur Parcourir. Accédez à l'application que vous souhaitez ajouter ou mettre à jour.
.
167
Applications
5.
Cliquez sur Ouvrir.
6.
7.
Vous pouvez également ajouter le nom du fournisseur et la description de l'application.
8.
Pour ajouter des captures d'écran de l'application, cliquez sur Ajouter. Accédez aux captures d'écran. Les
9.
Si vous ajoutez une application iOS, procédez comme suit :
a.
Dans la liste déroulante Facteur de forme du terminal pris en charge, sélectionnez les facteurs de forme sur lesquels
l'application peut être installée. Par exemple, vous pouvez empêcher l'accès à l'application dans les applications
professionnelles pour iPad
b.
Si vous souhaitez supprimer l'application du terminal lorsque celui-ci est supprimé de BES12, sélectionnez
Supprimer l'application du terminal lorsque celui-ci est supprimé de BES12. Cette option s'applique uniquement
aux applications dotées d'une disposition marquée comme requise et l'installation par défaut des applications
requises est définie sur une seule demande.
c.
Si vous souhaitez empêcher la sauvegarde des applications des terminaux iOS sur le service en ligne iCloud,
sélectionnez Désactiver la sauvegarde iCloud pour l'application. Cette option s'applique uniquement aux
applications dotées d'une disposition marquée comme requise. Vous pouvez définir la disposition de l'application
lorsque vous attribuez l'application à un utilisateur ou à un groupe.
d.
Dans la liste déroulante Méthode d'installation par défaut des applications requises, si vous souhaitez que les
utilisateurs reçoivent une demande d'installation de l'application sur leurs terminaux iOS, sélectionnez Demander
une fois. Si les utilisateurs ignorent l'invite, ils peuvent installer l'application ultérieurement à partir de la liste
Applications professionnelles de l'application Good for BES12 ou à l'aide de l'icône Applications professionnelles du
terminal.
10. Si vous ajoutez une application Android, dans la liste déroulante Envoyer à, effectuez l'une des opérations suivantes :
•
Android .
•
Workspace, sélectionnez Terminaux Samsung KNOX Workspace.
Supprimer une application de la liste des applications
Lorsque vous supprimez une application de la liste des applications, l'application est désattribuée des utilisateurs ou des
groupes concernés et n'apparait plus dans le catalogue des applications professionnelles du terminal.
1.
2.
Cochez la case en regard des applications que vous souhaitez supprimer de la liste des applications.
168
Applications
3.
Cliquez sur
.
4.
Comportement de l'application sur les terminaux Android
Pour les terminaux activés avec « Contrôles MDM », « Travail et Personnel - Contrôle total (Secure Work Space) » et « Travail et
Personnel - Confidentialité de l'utilisateur (Secure Work Space) », il se produit ce qui suit :
Type d'application
Applications publiques dotée
d'une disposition requise
d'une disposition facultative
Applications internes dotées
Comportement lorsque des
Comportement lorsque le
applications sont attribuées à applications sont
terminal est supprimé de
un utilisateur
désattribuées d'un utilisateur BES12
•
L'utilisateur est invité à •
installer les applications.
•
Les applications
apparaissent dans la
liste Applications
professionnelles
attribuées dans BES12
Client.
L'utilisateur est invité à
supprimer les
applications.
•
•
Vous pouvez utiliser un
profil de conformité pour
définir les actions prises
si les applications
requises ne sont pas
installées.
Les applications
n'apparaissent dans la
liste Applications
professionnelles
Client.
•
L'utilisateur peut choisir •
d'installer les
applications.
supprimer les
applications.
•
Les applications
liste Applications
professionnelles
Client.
•
Les applications
liste Applications
professionnelles
Client.
•
supprimer les
applications.
169
•
supprimer les
applications.
•
supprimer les
applications.
•
supprimer les
applications.
Applications
Type d'application
un utilisateur
•
Les applications
liste Applications
professionnelles
Client.
•
Les applications
liste Applications
professionnelles
Client.
•
si les applications
installées.
•
d'installer les
applications.
supprimer les
applications.
•
Les applications
liste Applications
professionnelles
Client.
Les applications
liste Applications
professionnelles
Client.
•
•
supprimer les
applications.
Pour les terminaux Samsung KNOX activés avec « Contrôles MDM », il se produit ce qui suit :
Type d'application
Comportement lorsque
l'application est attribuée à
un utilisateur
l'application est désattribuée terminal est supprimé de
d'utilisateur
BES12
•
•
Les applications
attribuées apparaissent
dans BES12 Client.
Lorsque l'utilisateur
clique sur le bouton
Installer, Google Play
170
désinstaller les
applications.
•
désinstaller les
installations
professionnelles
attribuées
Applications
Type d'application
un utilisateur
d'utilisateur
BES12
s'ouvre et l'application
est installée.
•
si les applications
installées.
•
d'installer les
applications.
•
Les applications
dans BES12 Client.
s'ouvre et les
applications sont
installées.
•
Les applications sont
automatiquement
installées sur les
terminaux. L'utilisateur
ne peut pas désinstaller
les applications.
désinstaller les
applications.
•
désinstaller les
installations
professionnelles
attribuées
•
•
automatiquement
supprimées du terminal.
automatiquement
•
Les applications
attribuées sont installés
depuis BES12 Client.
•
d'installer les
applications.
•
automatiquement
automatiquement
171
Applications
Type d'application
un utilisateur
•
d'utilisateur
BES12
Les applications
Pour les terminaux Samsung KNOX activés avec espace Travail uniquement (Samsung KNOX), il se produit ce qui suit :
Type d'application
un utilisateur
d'utilisateur
BES12
•
Par défaut, toutes les
sont restreintes dans
l'espace Travail.
•
•
Les applications
dans BES12 Client, mais
doivent être installées
depuis Google Play.
•
Google Play doit être
activé dans la stratégie
informatique attribuée à
l'utilisateur.
•
si les applications
installées.
•
applications sont
restreintes dans
l'espace Travail.
•
Les applications
•
supprimées du terminal
et ne peuvent plus être
installées depuis Google
Play.
•
•
172
•
supprimées du terminal
et ne peuvent plus être
installées depuis Google
Play.
•
L'espace Travail et
toutes les applications
professionnelles sont
automatiquement
supprimées.
Les applications ne sont
plus automatiquement
restreintes dans Google
Play.
L'espace Travail et
automatiquement
supprimées.
Les applications ne sont
plus automatiquement
Applications
Type d'application
un utilisateur
d'utilisateur
BES12
depuis Google Play.
restreintes dans Google
Play.
•
l'utilisateur.
•
automatiquement
installées sur les
terminaux. L'utilisateur
ne peut pas désinstaller
les applications.
•
•
automatiquement
L'espace Travail et
automatiquement
supprimées.
•
d'installer les
applications.
•
automatiquement
•
Les applications
L'espace Travail et
automatiquement
supprimées.
Pour les terminaux activés avec « Travail et Personnel - Contrôle total (Samsung KNOX) » et « Confidentialité de l'utilisateur
(Samsung KNOX) », il se produit ce qui suit :
Type d'application
un utilisateur
d'utilisateur
BES12
•
sont restreintes dans
l'espace Travail.
•
•
•
Les applications
dans BES12 Client.
173
Les applications restent
dans l'espace
Personnel, mais sont
supprimées de l'espace
Travail.
•
L'espace Travail est
supprimé et les
applications restent
dans l'espace
Personnel.
Applications
Type d'application
un utilisateur
d'utilisateur
BES12
s'ouvre et l'application
est installée.
•
si les applications
installées.
•
applications sont
restreintes dans
l'espace Travail.
•
Les applications
depuis Google Play.
•
l'utilisateur.
•
•
•
•
supprimé et les
dans l'espace
Personnel.
•
automatiquement
installées dans l'espace
Travail. L'utilisateur ne
peut pas désinstaller les
applications.
•
automatiquement
supprimé et les
dans l'espace
Personnel.
d'installer les
applications.
•
automatiquement
supprimé et les
dans l'espace
Personnel.
174
Les applications restent
dans l'espace
Personnel, mais sont
supprimées de l'espace
Travail.
Applications
Type d'application
un utilisateur
•
d'utilisateur
BES12
Les applications
attribuées sont installées
depuis BES12 Client et
ce, dans l'espace
Travail.
Pour les terminaux activés avec « Travail et Personnel - Confidentialité de l'utilisateur (Android for Work) », il se produit ce qui
suit :
un utilisateur
d'utilisateur
BES12
•
automatiquement
installées.
•
•
automatiquement
Le profil professionnel et
les applications
supprimés du terminal.
•
d'installer les
applications.
•
automatiquement
•
Les applications
apparaissent dans
Google Play for Work.
Le profil professionnel et
les applications
supprimés du terminal.
•
Non pris en charge.
Non pris en charge.
Non pris en charge.
Type d'application
Applications internes
•
•
Comportement de l'application sur les terminaux iOS
Pour les terminaux activés avec « Contrôles MDM », « Travail et Personnel - Contrôle total (Secure Work Space) » et « Travail et
Personnel - Confidentialité de l'utilisateur (Secure Work Space) », il se produit ce qui suit :
175
Applications
Type d'application
applications sont
applications sont attribuées à
désattribuées d'un
un utilisateur
utilisateur
BES12
•
Selon les paramètres
des applications,
l'utilisateur peut être
invité à installer les
applications.
•
•
Les applications
s'affichent dans
l'application
Applications
professionnelles ou dans
l'application Good for
BES12 sur les terminaux
activés avec
Confidentialité de
l'utilisateur.
•
automatiquement
supprimées du
terminal.
•
Les applications ne
s'affichent plus dans
l'application
Applications
•
professionnelles ni dans
BES12 sur les
terminaux activés avec
Confidentialité de
l'utilisateur.
•
si les applications
installées.
•
d'installer les
applications.
•
Les applications
s'affichent dans
•
l'application
Applications
activés avec
Confidentialité de
l'utilisateur.
176
automatiquement
supprimées du
terminal.
•
Les applications ne
l'application
Applications
•
BES12 sur les
Confidentialité de
l'utilisateur.
Pour les terminaux avec
Secure Work Space,
l'espace Travail et toutes
les applications
automatiquement
supprimées.
Pour les terminaux
activés avec Contrôles
MDM, toutes les
applications
automatiquement
supprimées.
Secure Work Space,
les applications
automatiquement
supprimées.
Pour les terminaux
MDM, toutes les
applications
automatiquement
supprimées.
Applications
Type d'application
applications sont
un utilisateur
utilisateur
BES12
•
Selon les paramètres
des applications,
l'utilisateur peut être
invité à installer les
applications.
•
•
Les applications
s'affichent dans
l'application
Applications
activés avec
Confidentialité de
l'utilisateur.
•
automatiquement
supprimées du
terminal.
•
Les applications ne
l'application
Applications
•
BES12 sur les
Confidentialité de
l'utilisateur.
•
si les applications
installées.
•
d'installer les
applications.
•
Les applications
s'affichent dans
•
l'application
Applications
activés avec
Confidentialité de
l'utilisateur.
177
automatiquement
supprimées du
terminal.
•
Les applications ne
l'application
Applications
•
BES12 sur les
Confidentialité de
l'utilisateur.
Secure Work Space,
les applications
automatiquement
supprimées.
Pour les terminaux
MDM, toutes les
applications
automatiquement
supprimées.
Secure Work Space,
les applications
automatiquement
supprimées.
Pour les terminaux
MDM, toutes les
applications
automatiquement
supprimées.
Applications
Comportement de l'application sur les terminaux BlackBerry
Pour les terminaux BlackBerry activés avec Travail et Personnel - Entreprise (Espace Travail uniquement) ou Travail et Personnel
- Régulé, il se produit ce qui suit :
Type d'application
applications sont
un utilisateur
utilisateur
BES12
•
•
•
Les applications
apparaissent dans
l'onglet Applications
publiques de BlackBerry
World for Work.
désinstaller les
applications.
L'espace Travail et toutes
les applications
automatiquement
supprimées.
•
d'installer les
applications.
désinstaller les
applications.
•
•
Les applications
apparaissent dans
l'onglet Applications
publiques de BlackBerry
World for Work.
les applications
automatiquement
supprimées.
•
automatiquement
installées sur les
terminaux.
•
automatiquement
supprimées du
terminal.
•
•
L'utilisateur ne peut pas
désinstaller les
applications.
les applications
automatiquement
supprimées.
•
automatiquement
installées sur les
terminaux.
•
automatiquement
supprimées du
terminal.
•
les applications
automatiquement
supprimées.
178
Applications
Type d'application
applications sont
un utilisateur
utilisateur
•
BES12
L'utilisateur ne peut pas
désinstaller les
applications.
Comportement de l'application sur les terminaux Windows 10
Type d'application
un utilisateur
Applications Windows Store
hors ligne dotée d'une
disposition requise
•
automatiquement
installées sur les
terminaux. Les
utilisateurs ne peuvent
pas désinstaller les
applications.
•
automatiquement
supprimées des
terminaux.
•
automatiquement
supprimées des
terminaux.
en ligne dotée d'une
disposition requise
•
automatiquement
installées sur les
terminaux. Les
utilisateurs ne peuvent
pas désinstaller les
applications.
•
automatiquement
supprimées des
terminaux.
•
automatiquement
supprimées des
terminaux.
hors ligne dotée d'une
disposition facultative
•
Les utilisateurs peuvent
choisir d'installer les
applications.
•
Les utilisateurs ne sont •
pas invités à désinstaller
les applications.
•
Pour les applications
hors ligne, les
utilisateurs installent
l'application depuis
BES12 App Catalog.
179
Les utilisateurs ne sont
les applications
attribuées.
Applications
Type d'application
un utilisateur
•
Non pris en charge sur
les terminaux Windows
10 Mobile.
•
Les utilisateurs peuvent
choisir d'installer les
applications.
•
Pour les applications en
ligne, les utilisateurs
installent l'application à
partir de l'application
Windows Store sur leurs
terminaux.
•
Non pris en charge sur
les terminaux Windows
10 Mobile.
•
•
en ligne dotée d'une
disposition facultative
•
Les utilisateurs ne sont •
les applications.
Les utilisateurs ne sont
les applications.
Non pris en charge
•
Non pris en charge
•
Non pris en charge
Non pris en charge
•
Non pris en charge
•
Non pris en charge
Empêcher les utilisateurs d'installer des
applications iOS, Android et Windows Phone
spécifiques
Vous pouvez créer une liste d'applications iOS, Android et Windows Phone que vous ne souhaitez pas que les utilisateurs
installent sur leurs terminaux. Par exemple, vous pouvez empêcher les utilisateurs d'installer des applications malveillantes ou
nécessitant une quantité élevée de ressources.
Pour appliquer une action particulière si une application limitée est installée sur un terminal iOS ou un terminal Android
n'utilisant pas Samsung KNOX, vous devez créer un profil de conformité et l'attribuer aux utilisateurs ou groupes d'utilisateurs.
Le profil de conformité spécifie les actions que seront prises si l'utilisateur ne supprime pas l'application limitée du terminal. Si
une application limitée est installée par un utilisateur, le terminal de l'utilisateur signale qu'il n'est pas conforme et les
180
Applications
applications limitées, et les actions qui seront prises si l'application n'est pas désinstallée s'affichent dans le rapport de
conformité.
Pour Windows Phone version 8.1 ou ultérieure et pour les terminaux Android utilisant KNOX MDM, il vous suffit d'ajouter
l'application au profil de conformité et vous n'avez pas à spécifier de mesures de conformité. En effet, l'utilisateur n'est pas
autorisé à installer une application que vous ajoutez au profil de conformité. Si un utilisateur tente d'installer une application
limitée, le terminal affiche un message indiquant que l'application est limitée et qu'elle ne peut pas être installée.
Il n'est pas nécessaire de créer une liste des applications limitées pour les terminaux BlackBerry 10 et Android utilisant
Samsung KNOX Workspace ou Android for Work car les utilisateurs peuvent uniquement installer les applications que vous avez
autorisées dans l'espace Travail.
Étapes à suivre pour empêcher les utilisateurs d'installer des
applications
Pour empêcher les utilisateurs d'installer des applications, procédez comme suit :
Étape
Action
Ajouter une application à la liste des applications limitées
Créez ou modifiez un profil de conformité définissant les actions prises si une application limitée est
installée sur un terminal.
Attribuez le profil de conformité à un utilisateur, à un groupe d'utilisateurs ou à un groupe de
terminaux.
Ajouter une application à la liste des applications limitées
La liste des applications limitées correspond à la bibliothèque des applications que vous souhaitez empêcher les utilisateurs
d'installer sur un terminal iOS, Android ou Windows Phone.
1.
2.
Cliquez sur Applications limitées.
3.
Cliquez sur
4.
.
Tâche
Étapes
Ajouter une application iOS à la liste
des applications limitées
1.
Cliquez sur Boutique d'applications.
181
Applications
Tâche
Ajouter une application Android à la
liste des applications limitées
Ajouter une application Windows
Phone à la liste des applications
limitées
Étapes
2.
Dans le champ de recherche, recherchez l'application que vous souhaitez
ajouter. Vous pouvez rechercher une application par nom, fournisseur ou
URL App Store.
3.
4.
Dans les résultats de la recherche, cliquez sur Ajouter pour ajouter une
application.
1.
2.
3.
Dans le champ Adresse Web de l'application sur Google Play, saisissez
l'adresse Web de l'application dans Google Play.
4.
Cliquez sur Ajouter pour ajouter l'application ou sur Ajouter et Nouveau
pour ajouter une autre application après avoir ajouté l'application en
cours.
1.
Cliquez sur Windows Phone Store.
2.
3.
Dans le champ Adresse Web de l'application sur Windows Phone Store,
saisissez l'adresse Web de l'application dans Windows Store.
4.
Cliquez sur Ajouter pour ajouter l'application ou sur Ajouter et Nouveau
pour ajouter une autre application après avoir ajouté l'application en
cours.
Gestion des groupes d'applications
Les groupes d'applications vous permettent de créer un ensemble d'applications à attribuer à des utilisateurs, groupes
d'utilisateurs ou groupes de terminaux. Les groupes d'applications permettent une gestion plus efficace et plus cohérente des
applications. Par exemple, vous pouvez utiliser les groupes d'applications pour grouper la même application pour plusieurs
types de terminaux ou pour grouper des applications pour des utilisateurs dotés du même rôle au sein de votre organisation.
BES12 propose des groupes d'applications préconfigurées appelées « Applications Android for Work recommandées », ainsi
que BlackBerry Productivity Suite.
182
Applications
Créer un groupe d'applications
Avant de commencer: Ajoutez les applications à la liste des applications.
1.
Sur la barre de menus, cliquez sur Applications > Groupes d'applications.
2.
Cliquez sur
3.
Saisissez le nom et la description du profil du groupe d'applications.
4.
Cliquez sur
5.
Recherchez et sélectionnez les applications que vous souhaitez ajouter.
6.
Si vous ajoutez des applications iOS, effectuez l'une des tâches suivantes :
.
.
Tâche
Étapes
Si vous n'avez pas ajouté de compte VPP
1.
Si vous avez ajouté au moins un compte VPP
1.
2.
Sélectionnez Oui si vous souhaitez attribuer une
licence à l'application iOS. Sélectionnez Non si vous
ne souhaitez pas attribuer une licence à l'application
ou n'avez pas de licence à lui attribuer.
3.
Si vous attribuez une licence à l'application, dans la
liste déroulante Licences d'applications, sélectionnez
le compte VPP à associer à l'application.
4.
Dans la liste déroulante Attribuer une licence à,
attribuez la licence à l'utilisateur ou au terminal. Si
aucune valeur n'est spécifiée dans la liste déroulante
Licence d'application, la liste déroulante Attribuer
une licence à n'est pas disponible.
5.
Cliquez sur Ajouter, puis de nouveau sur Ajouter.
Les utilisateurs doivent suivre les instructions qui
s'affichent sur leurs terminaux pour inscrire le compte VPP
de leur entreprise avant de pouvoir installer des
applications prépayées. Les utilisateurs doivent effectuer
cette tâche une seule fois.
Remarque: si vous autorisez l'accès à plusieurs licences
dont vous disposez, les premiers utilisateurs à accéder aux
licences disponibles peuvent installer l'application.
183
Applications
7.
Si vous ajoutez des applications Android avec une configuration d'application associée, dans la liste déroulante
Configuration d'application, sélectionnez la configuration à appliquer à l'application.
8.
Sélectionnez les applications que vous souhaitez ajouter au groupe d'applications.
9.
Cliquez sur Ajouter, puis de nouveau sur Ajouter.
Modifier un groupe d'applications
1.
2.
Cliquez sur le groupe d'applications que vous souhaitez modifier.
3.
Procédez aux modifications nécessaires.
4.
Gestion des comptes VPP Apple
Le Programme d'achat en volume (Volume Purchase Program - VPP) Apple vous permet d'acheter et de distribuer des
applications iOS en bloc. Vous pouvez associer des comptes Apple VPP à un domaine BES12 afin de pouvoir distribuer les
licences achetées pour les applications iOS associées aux comptes VPP.
Ajouter un compte VPP Apple
1.
2.
Cliquez sur Licences d'applications iOS.
3.
Cliquez sur Ajouter un compte d'achat en volume Apple.
4.
Saisissez le nom et les informations du compte VPP.
5.
Dans le champ Jeton de service d'achat en volume, copiez et collez le code 64 bits à partir du fichier de jeton .vpp. Il
s'agit du fichier que le détenteur du compte VPP depuis la boutique VPP.
6.
7.
Sélectionnez les applications que vous souhaitez ajouter à la liste des applications. Si l'application a déjà été ajoutée à la
liste des applications, vous ne pouvez pas la sélectionner et sont état indique « Déjà ajoutée ».
184
Applications
8.
Si vous souhaitez supprimer des applications des terminaux lors de leur suppression de BES12, sélectionnez Supprimer
l'application du terminal lorsque le terminal est supprimé du système.
9.
Si vous souhaitez empêcher la sauvegarde des applications des terminaux iOS sur le service en ligne iCloud, cochez la
case correspondant à cette option. Cette option s'applique uniquement aux applications dotées d'une disposition
marquée comme requise. Vous pouvez définir la disposition de l'application lorsque vous attribuez l'application à un
utilisateur ou à un groupe.
10. Dans la liste déroulante Méthode d'installation par défaut, effectuez l'une des opérations suivantes :
•
Si vous souhaitez que les utilisateurs reçoivent une demande d'installation des applications sur leurs terminaux
iOS, sélectionnez Demander une fois. Si les utilisateurs ignorent l'invite, ils peuvent installer les applications
ultérieurement à partir de la liste Applications professionnelles de l'application Good for BES12 ou à l'aide de
l'icône Applications professionnelles du terminal.
•
Aucune invite
La méthode d'installation par défaut s'applique uniquement aux applications dotées d'une disposition marquée comme
requise. Vous pouvez définir la disposition de l'application lorsque vous attribuez l'application à un utilisateur ou à un
groupe.
Modifier un compte VPP Apple
1.
2.
3.
Cliquez sur
4.
Modifiez les informations de compte VPP.
5.
.
Mettre à jour les informations de compte VPP Apple
Lorsque la page Licences des applications est ouverte, les informations de licence les plus actuelles sont automatiquement
synchronisées à partir des serveurs VPP Apple. Si nécessaire, vous pouvez aussi mettre à jour manuellement les informations
de licence que vous avez ajoutées à BES12.
1.
2.
3.
Cliquez sur
.
185
Applications
Supprimer un compte VPP Apple
Avant de commencer: Supprimez les applications dotées de licences associées des utilisateurs avant de supprimer le compte
VPP.
1.
2.
3.
Cliquez sur
4.
.
Attribution de licences VPP Apple aux terminaux
Vous pouvez attribuer des licences VPP (Volume Purchase Program) Apple aux terminaux exécutant iOS version 9 ou ultérieure.
Attribuer de licences VPP à des terminaux plutôt qu'à des utilisateurs ou groupes simplifie le processus pour les utilisateurs, car
ils n'ont plus besoin d'un identifiant Apple pour installer des applications. En outre, les applications n'apparaissent pas dans
l'historique d'achat et les installations d'applications des utilisateurs. Lorsque vous modifiez le type d'attribution existant pour
une application afin de remplacer « Utilisateur attribué » par « Terminal attribué », l'utilisateur doit réinstaller l'application
avant que la nouvelle attribution soit appliquée et affichée dans la console de gestion BES12.
L'attribution de licences VPP est prise en charge sur les terminaux iOS avec les types d'activation suivants.
•
Contrôles MDM
•
•
Travail et Personnel - Confidentialité de l'utilisateur
Pour le type d'activation Travail et Personnel - Confidentialité de l'utilisateur, vous devez cocher la case Autoriser l'accès à la
carte SIM et aux informations matérielles du terminal pour activer la gestion de licences basée sur la carte SIM dans le profil
d'activation pour que cette fonctionnalité soit prise en charge.
Vous pouvez attribuer des licences VPP à des terminaux lorsque des applications sont ajoutées à l'un des groupes ou comptes
suivants :
•
Comptes d'utilisateur
•
Groupes d'applications
•
Groupes d'utilisateurs
L'attribution de licences VPP à des groupes de terminaux n'est pas prise en charge.
Pour plus d'informations, reportez-vous à Gestion des comptes VPP Apple .
186
Applications
Afficher une attribution de licence VPP Apple
Vous pouvez afficher l'état de l'attribution de licence VPP Apple dans votre domaine.
1.
Sur la barre de menus, cliquez sur Applications > Licences d'applications iOS.
2.
Si vous possédez plusieurs comptes VPP Apple, cliquez sur celui pour lequel vous souhaitez afficher l'attribution de
licence VPP.
Pour chaque application iOS du domaine, vous pouvez afficher les informations de licence VPP suivantes :
3.
•
Le nombre de licences VPP disponibles
•
Le nombre de licences VPP utilisées
Dans la colonne Licences utilisées correspondant à l'application, cliquez sur le lien Licences utilisées.
Pour l'application spécifiée, vous pouvez afficher les informations d'attribution de licence d'application suivantes :
4.
•
Les noms d'utilisateur pour lesquels l'application possède une licence
•
Si la licence d'application est attribuée à un compte d'utilisateur ou à un terminal
•
Si une licence VPP est utilisée ou non
•
Si l'application est installée ou non
Cliquez sur Fermer.
Spécifier si une application est requise ou
facultative
Vous pouvez spécifier si une application est requise ou facultative Les actions prises lorsqu'une application est définie sur
Requise ou Facultative dépendent du type d'application, du terminal et du type d'activation.
1.
Sur la barre de menus, cliquez sur Utilisateurs et terminaux.
2.
Si l'application que vous souhaitez modifier est attribuée à un compte d'utilisateur, dans les résultats de la recherche,
cliquez sur le nom d'un compte d'utilisateur.
3.
Si l'application que vous souhaitez modifier est attribuée à un groupe, dans le volet de gauche, cliquez sur Groupes pour
développer la liste des groupes d'utilisateurs, puis cliquez sur le nom du groupe.
4.
Dans la section Applications attribuées à des groupes et utilisateurs, cliquez sur la disposition de l'application que vous
souhaitez modifier.
5.
Dans la liste déroulante Disposition, sélectionnez Facultative ou Obligatoire.
6.
Cliquez sur Attribuer.
187
Applications
Afficher l'état des applications et des groupes
d'applications attribués à des comptes
d'utilisateur
1.
2.
Sous Utilisateurs appliqués pour l'application ou le groupe d'applications que vous souhaitez afficher, cliquez sur le
chiffre.
3.
Cliquez sur Attribué aux utilisateurs x pour afficher les comptes d'utilisateur auxquels est attribuée cette application.
4.
Affichez la colonne Attribution pour vérifier si l'application ou le groupe d'applications a été directement attribué au
compte d'utilisateur ou à un groupe.
5.
Affichez la colonne État pour vérifier si une application a été installée sur un terminal. Les états possibles sont les
suivants :
•
Installée : l'application a bien été installée sur le terminal de l'utilisateur.
•
Non installée : l'application n'a pas encore été installée sur le terminal de l'utilisateur.
•
Ne peut pas être installée : l'application n'est pas prise en charge sur le terminal de l'utilisateur.
•
Non pris en charge : le système d'exploitation du terminal ne prend pas en charge cette application.
Afficher les applications attribuées à des
groupes d'utilisateurs
1.
2.
Sous Attribué aux utilisateurs pour l'application que vous souhaitez afficher, cliquez sur le chiffre.
3.
Cliquez sur Attribué aux utilisateurs x pour afficher les groupes d'utilisateurs auxquels est attribuée cette application.
188
Applications
Mettre à jour les informations dans la liste des
applications
Vous pouvez mettre à jour la liste des applications pour vérifier que vous disposez des informations les plus récentes sur les
applications BlackBerry 10 et iOS dans la liste des applications.
Si vous disposez d'une configuration Android for Work, vous pouvez également mettre à jour les informations relatives aux
applications Android. Si vous avez ajouté des applications Android avant d'avoir configuré Android for Work ou que les
autorisations des applications ont changé, vous devez mettre à jour les informations relatives aux applications pour qu'elles
soient disponibles sur les terminaux Android for Work. Cela s'applique également si vous apportez des modifications à votre
connexion Android for Work.
Les informations relatives à Google Play, si vous ne disposez pas d'une connexion Android for Work et d'applications Windows
Phone, doit être mise à jour manuellement. La mise à jour des informations d'une application ne signifie pas que celle-ci est
mise à jour sur le terminal de l'utilisateur. Les utilisateurs reçoivent des notifications de mise à jour pour leurs applications
professionnelles de la même façon qu'ils reçoivent des notifications de mise à jour pour leurs applications personnelles.
1.
2.
Cliquez sur
.
Mettre à jour les autorisations des applications
Android for Work
Si vous n'acceptez pas les autorisations d'applications au nom des utilisateurs, l'application ne peut pas être attribuée aux
terminaux Android for Work. Vous devez accepter les autorisations d'applications lorsque vous ajoutez l'application à la liste
d'applications, et vous pouvez devoir les accepter à nouveau ultérieurement si elles changent.
Les applications peuvent également être non approuvées ou supprimées depuis la console Google Play for Work mais toujours
apparaitre comme disponibles dans BES12. Vous devez mettre à jour les informations sur les applications dans BES12 pour
synchroniser les autorisations avec Google Play for Work.
1.
2.
Cliquez sur
3.
Dans la liste des applications, les applications dont les autorisations ont changé sont indiquées par une icône
d'avertissement et un message d'état. Les états suivants peuvent survenir après la mise à jour de la liste d'applications.
Effectuez l'une des tâches suivantes pour résoudre le problème :
.
189
Applications
État
Étapes
Accepter à nouveau les autorisations des
applications
Les autorisations d'applications ont été modifiées dans la console Google
Play for Work. Pour pouvoir gérer l'application, vous devez réaccepter les
autorisations de l'application. Pour réaccepter les autorisations, procédez
comme suit :
Supprimer l'application depuis BES12
1.
Cliquez sur Réaccepter les autorisations de l'application.
2.
Cliquez sur Accepter.
L'application a été non approuvée dans la console Google Play for Work
mais n'a pas été supprimée de BES12. Si vous souhaitez continuer à gérer
cette application sur les terminaux, vous devez approuver l'application
dans la console Google Play for Work. Si vous ne souhaitez plus gérer
l'application, procédez comme suit :
1.
Cliquez sur Supprimer l'application depuis BES12.
2.
Approuver l'application dans Google Play for L'application a été non approuvée dans la console Google Play for Work.
Work
Pour pouvoir gérer l'application, vous devez l'approuver dans la console
Google Play for Work. Pour approuver l'application, procédez comme
suit :
L'application a été ajoutée dans Google Play
for Work et est ajoutée à BES12
4.
1.
Cliquez sur Approuver l'application dans Google Play for Work.
2.
Les applications qui ont été ajoutées à la console Google Play for Work,
mais pas à BES12, sont automatiquement synchronisées avec BES12
lorsque vous mettez à jour la liste des applications. Vous n'avez aucune
action à effectuer.
Cliquez sur Fermer.
Accepter les autorisations d'applications pour
les applications Android for Work
Vous devez accepter les autorisations d'applications pour pouvoir gérer une application Android sur les terminaux Android for
Work. Vous pouvez accepter des autorisations d'applications lorsque vous ajoutez l'application à BES12 ou après la mise à jour
de la liste d'applications. Si vous n'acceptez pas les autorisations d'applications dans ces cas, vous pouvez également les
190
Applications
accepter à partir de l'écran d'informations de l'application. Les applications qui possèdent des changements d'autorisations
présentent une icône d'avertissement dans la liste des applications.
Avant de commencer:
•
Mettez à jour la liste d'applications.
1.
2.
Cliquez sur l'application pour laquelle vous voulez accepter des autorisations.
3.
Cliquez sur Accepter les autorisations des applications pour exécuter cette action.
4.
Sélectionnez Accepter.
5.
Définir le nom d'entreprise pour BlackBerry
World
Vous pouvez ajouter le nom de votre organisation à la boutique des applications de BlackBerry World for Work.
1.
2.
Développez Gestion des applications et cliquez sur BlackBerry World for Work.
3.
Dans Nom d'entreprise, saisissez le nom de votre organisation.
4.
Personnalisation de l'icône Applications
professionnelles pour les terminaux iOS
Lorsque les utilisateurs activent les terminaux iOS avec les types d'activation Contrôles MDM ou Travail et Personnel - Contrôle
total, une icône Applications professionnelles s'affiche sur le terminal. Les utilisateurs peuvent toucher l'icône pour voir les
applications professionnelles qui leur ont été confiées, et ils peuvent installer ou mettre à jour les applications selon le besoin.
Vous pouvez personnaliser l'apparence de l'icône Applications professionnelles en sélectionnant une image et un nom pour
l'icône. Le nom par défaut de l'icône Applications professionnelles est Applications professionnelles et l'icône par défaut affiche
le logo BlackBerry.
191
Applications
Personnaliser l'icône Applications professionnelles
Lorsque vous personnalisez l'icône Applications professionnelles, l'icône est mise à jour sur tous les terminaux iOS activés.
Remarque: cette fonction n'est pas prise en charge sur les terminaux dotés du type d'activation Travail et Personnel Confidentialité de l'utilisateur.
Avant de commencer: vérifiez que l'image que vous prévoyez d'utiliser pour l'icône Applications professionnelles répond aux
exigences suivantes :
•
Format d'image de type .png, .jpg ou .jpeg.
•
Évitez d'utiliser des images .png présentant des éléments transparents. Les éléments transparents s'affichent en noir
sur le terminal.
•
Pour connaitre les tailles suggérées des images, rendez-vous sur developer.apple.com. et consultez la rubrique Tailles
des icônes et des images.
1.
2.
Dans le volet de gauche, développez Gestion des applications.
3.
Cliquez sur Applications professionnelles pour iOS.
4.
Dans le champ Nom, saisissez le nom de l'icône personnalisée. Le nom s'affiche sur le terminal juste sous l'icône.
5.
Cliquez sur Parcourir. Localisez et sélectionnez une image pour l'icône Applications professionnelles. Les formats d'image
pris en charge sont les suivants : .png, .jpg ou .jpeg.
6.
192
Utilisateurs et groupes
11
Vous pouvez créer des comptes d'utilisateur, puis des groupes d'utilisateurs pour gérer plus efficacement les utilisateurs et les
terminaux.
Procédure de création de groupes et comptes
d'utilisateur
Pour gérer les utilisateurs et les terminaux de votre organisation, procédez comme suit :
Étape
Action
Créez des rôles d'utilisateurs.
Créez des groupes d'utilisateurs.
Créez des comptes d'utilisateur.
Si vous le souhaitez, créez des groupes de terminaux.
Création de rôles d'utilisateur
Les rôles d'utilisateur vous permettent de spécifier les fonctionnalités mises à la disposition des utilisateurs dans BES12 SelfService.
BES12 inclut un rôle d'utilisateur par défaut préconfiguré. Le rôle d'utilisateur par défaut est configuré pour autoriser toutes les
fonctionnalités BES12 Self-Service. De plus, il est attribué au groupe Tous les utilisateurs. Vous pouvez renommer, modifier,
supprimer ou réattribuer le rôle d'utilisateur par défaut. Vous pouvez également le supprimer du groupe Tous les utilisateurs.
Si vous souhaitez limiter l'accès des utilisateurs à certaines fonctionnalités BES12 Self-Service, vous pouvez créer de nouveaux
rôles d'utilisateur ou modifier un rôle d'utilisateur existant. Vous pouvez attribuer des rôles d'utilisateur aux groupes ou
directement aux utilisateurs.
193
Fonctionnalités de BES12 Self-Service
Le tableau suivant répertorie les capacités de BES12 Self-Service :
Fonctionnalité
Description
Localiser le terminal
Cette fonctionnalité permet aux utilisateurs de visualiser l'emplacement de leurs terminaux
iOS, Android ou Windows 10 Mobile sur une carte. Pour que cette fonctionnalité soit
disponible, un profil de service de localisation doit être attribué à l'utilisateur. Pour plus
d'informations, reportez-vous à Créer un profil de service de localisation.
Supprimer toutes les données Cette fonctionnalité permet aux utilisateurs d'envoyer la commande « Delete all device data »
du terminal
(Supprimer toutes les données du terminal) à un terminal. Cette commande supprime toutes
les informations utilisateur et toutes les données d'applications qui sont stockées sur le
terminal, y compris les informations de l'espace de travail. Elle rétablit les paramètres d'usine
du terminal et supprime ce dernier dans BES12.
Supprimer uniquement les
Cette fonctionnalité permet aux utilisateurs d'envoyer la commande « Delete only work data »
(Supprimer les données professionnelles uniquement) à un terminal. Cette commande
supprime les données professionnelles, y compris les stratégies informatiques, les profils, les
applications et les certificats.
Verrouiller et déverrouiller les
applications Good Dynamics
Si des terminaux d'utilisateurs sont activés pour Good Dynamics, cette fonctionnalité permet
aux utilisateurs de verrouiller les applications Good Dynamics installées sur leurs terminaux ou
de générer des codes de déverrouillage pour déverrouiller les applications. Lorsqu'un
utilisateur verrouille une application, plus personne ne peut l'ouvrir.
Supprimer les données
d'application Good Dynamics
Si des terminaux d'utilisateurs sont activés pour Good Dynamics, cette fonctionnalité permet
aux utilisateurs de supprimer toutes les données d'une application Good Dynamics installée
sur un terminal. La commande supprime toutes les données stockées par l'application, mais
l'application même n'est pas supprimée.
d'activation.
Cette fonctionnalité permet aux utilisateurs de créer des mots de passe d'activation qu'ils
peuvent ensuite utiliser pour activer leurs terminaux dans BES12. Vous pouvez configurer le
délai d'expiration par défaut et la complexité exigée pour le mot de passe dans Paramètres >
Self-Service > Paramètres Self-Service.
Gérer les certificats utilisateur Cette fonctionnalité permet aux utilisateurs de charger des certificats utilisateur pour leurs
terminaux. Vous pouvez fournir des instructions aux utilisateurs sur les certificats dont ils ont
besoin et sur les emplacements d'où ils peuvent télécharger ces certificats.
194
Création d'un rôle d'utilisateur
Vous pouvez créer un rôle d'utilisateur personnalisé et l'attribuer à des utilisateurs ou groupes pour spécifier les fonctionnalités
qu'ils peuvent utiliser dans BES12 Self-Service.
1.
Dans la barre de menus, cliquez sur Paramètres > Self-Service.
2.
Cliquez sur Rôles d'utilisateur.
3.
Cliquez sur
4.
Saisissez le nom et la description du rôle d'utilisateur.
5.
Pour copier les autorisations d'un autre rôle, cliquez sur un rôle de la liste déroulante Autorisations copiées à partir du
rôle.
6.
Sélectionnez les fonctionnalités que vous souhaitez mettre à la disposition d'un utilisateur.
7.
Comment BES12 choisit-il l'attribution du rôle d'utilisateur ?
Un utilisateur ne peut avoir qu'un seul rôle. BES12 utilise les règles suivantes pour déterminer le rôle à attribuer à un
utilisateur :
•
Un rôle directement attribué à un compte d'utilisateur est prioritaire sur un rôle attribué indirectement par un groupe
d'utilisateurs.
•
Si un utilisateur est membre de plusieurs groupes d'utilisateurs possédant des rôles d'utilisateur différents, BES12 lui
attribue le rôle dont le rang est le plus élevé.
Classement des rôles d'utilisateur
Le classement permet de déterminer quel rôle BES12 attribue à un utilisateur lorsqu'il est membre de plusieurs groupes
d'utilisateurs qui possèdent des rôles différents.
1.
Dans la barre de menus, cliquez sur Paramètres > Self-Service.
2.
Cliquez sur Rôles d'utilisateur.
3.
Utilisez les flèches pour déplacer les rôles vers le haut ou le bas du classement.
4.
Attribuer un rôle d'utilisateur à un groupe
Un rôle d'utilisateur spécifie les fonctionnalités mises à la disposition des utilisateurs dans BES12 Self-Service.
195
Avant de commencer: Création d'un rôle d'utilisateur.
1.
Sur la barre de menus, cliquez sur Groupes.
2.
Recherchez un groupe d'utilisateurs.
3.
Dans les résultats de la recherche, cliquez sur le nom du groupe d'utilisateurs.
4.
Cliquez sur l'onglet Paramètres.
5.
Dans la section Rôle d'utilisateur, cliquez sur
6.
Dans la liste déroulante, cliquez sur le nom du rôle que vous souhaitez attribuer au groupe.
7.
Cliquez sur Ajouter ou Remplacer.
.
Attribuer un rôle d'utilisateur à un utilisateur
Un rôle d'utilisateur spécifie les fonctionnalités mises à la disposition des utilisateurs dans BES12 Self-Service.
Avant de commencer: Création d'un rôle d'utilisateur.
1.
Sur la barre de menus, cliquez sur Utilisateurs.
2.
3.
4.
Cliquez sur
5.
Dans la liste déroulante Attribution directe de rôle, sélectionnez le rôle que vous souhaitez attribuer. Si vous sélectionnez
Aucun, le rôle de l'utilisateur sera attribué par un groupe. Si aucune attribution de groupe n'est effectuée, l'utilisateur
n'aura pas accès à BES12 Self-Service.
6.
.
Création et gestion de groupes d'utilisateurs
Un groupe d'utilisateurs est un ensemble d'utilisateurs partageant des propriétés communes. L'administration d'utilisateurs
sous forme de groupe est plus efficace que l'administration d'utilisateurs individuels car elle permet d'ajouter des propriétés,
de les modifier ou de les supprimer simultanément de tous les membres du groupe.
Les utilisateurs peuvent appartenir à plusieurs groupes à la fois. Vous pouvez attribuer une stratégie informatique, des profils et
des applications dans la console de gestion lorsque vous créez ou mettez à jour les paramètres d'un groupe d'utilisateurs.
Vous pouvez créer deux types de groupes d'utilisateurs : les groupes de répertoires associés et les groupes locaux. Les groupes
de répertoires associés lient les groupes à votre annuaire d'entreprise. Seuls les comptes d'utilisateur associés à l'annuaire
d'entreprise peuvent être membres d'un groupe lié par annuaire. Les groupes locaux sont créés et gérés dans BES12 et
peuvent se voir attribuer des comptes d'utilisateur locaux et des comptes d'utilisateur associés à l'annuaire d'entreprise.
196
Une fois les groupes d'utilisateurs créés, vous pouvez définir un groupe comme membre d'un autre groupe. Lorsque vous
imbriquez un groupe dans un groupe d'utilisateurs, les membres du groupe imbriqué héritent des propriétés du groupe
d'utilisateurs. Vous pouvez créer et gérer la structure d'imbrication dans BES12 et imbriquer des groupes de répertoires
associés et des groupes locaux dans chaque type de groupe d'utilisateurs.
Création d'un groupe lié par annuaire
Vous pouvez créer des groupes dans BES12 qui sont reliés aux groupes de votre répertoire d'entreprise. À l'intervalle spécifié,
BES12 synchronise automatiquement l'appartenance d'un groupe lié par répertoire avec les groupes de répertoires
d'entreprise qui lui sont associés.
Par exemple, vous pouvez ajouter un compte d'utilisateur de répertoire à un groupe de répertoires d'entreprise que vous avez
relié à un groupe dans BES12. Lorsque BES12 synchronise l'appartenance de groupe, le compte d'utilisateur BES12
correspondant à l'utilisateur est automatiquement ajouté au groupe lié par répertoire dans BES12. De même, si vous supprimez
cet utilisateur du groupe de répertoires, l'utilisateur est automatiquement supprimé du groupe dans BES12 à la prochaine
synchronisation. Seuls les comptes d'utilisateur associés à l'annuaire d'entreprise peuvent être membres d'un groupe lié par
annuaire.
Pour activer et configurer cette fonctionnalité, consultez Activation des groupes liés par répertoire dans le contenu relatif à la
configuration.
Vous avez également la possibilité d'autoriser BES12 à créer un compte d'utilisateur BES12 pour un utilisateur de répertoire au
cours du processus de synchronisation, si cet utilisateur n'a pas déjà un. Si l'intégration n'est pas activée, vous devez
manuellement créer les utilisateurs dans BES12 et le processus de synchronisation doit intervenir avant que les comptes
d'utilisateur s'affichent dans la liste des utilisateurs de groupe lié par répertoire.
Vous pouvez lier plusieurs groupes d'annuaires d'entreprise à un groupe lié par annuaire. Par exemple, si vous disposez de deux
instances de Microsoft Active Directory et d'une instance LDAP, vous pouvez les connecter à BES12.
Un groupe lié par répertoire ne peut être lié qu'à un seul répertoire d'entreprise. Par exemple, si BES12 a deux connexions
Microsoft Active Directory (A et B), et que vous créez un groupe lié par répertoire qui est relié à la connexion A, vous pouvez
uniquement relier les groupes de répertoires de la connexion A. Vous devez créer de nouveaux groupes de répertoires associés
pour les autres connexions à l'annuaire.
Créer un groupe lié par répertoire
Avant de commencer: Activez les groupes liés par répertoire. Pour plus d'informations, consultez Activation des groupes liés
par répertoire dans le contenu relatif à la configuration.
1.
2.
Cliquez sur
3.
Saisissez le nom du groupe.
4.
Dans la section Groupes liés par annuaire, procédez comme suit :
a.
.
Cliquez sur
.
197
5.
6.
b.
Saisissez tout ou partie du nom du groupe d'annuaires d'entreprise que vous souhaitez lier.
c.
Si vous disposez de plusieurs connexions au répertoire d'entreprise, sélectionnez la connexion que vous souhaitez
rechercher. Lorsque c'est chose faite, le groupe lié par répertoire est définitivement associé à la connexion
sélectionnée.
d.
Cliquez sur
e.
Sélectionnez le groupe d'annuaires d'entreprise dans la liste des résultats de la recherche.
f.
Cliquez sur Ajouter. Le groupe d'annuaires d'entreprise s'affiche dans la liste et la connexion à un annuaire
d'entreprise auquel le groupe est lié s'affiche en regard du titre de la section.
g.
Si nécessaire, cochez la case Relier les groupes imbriqués. Vous pouvez décocher cette case pour relier tous les
groupes imbriqués ou la cocher pour permettre aux paramètres de répertoire de contrôler le nombre de groupes
imbriqués.
h.
Répétez ces étapes pour lier d'autres groupes.
.
Pour attribuer un rôle d'utilisateur à un groupe lié par répertoire, procédez comme suit :
a.
b.
Dans la liste déroulante, cliquez sur le nom du rôle d'utilisateur que vous souhaitez attribuer au groupe.
c.
Pour attribuer une stratégie informatique ou un profil au groupe lié par annuaire, procédez comme suit :
a.
Dans la section IProfils et stratégies informatiques, cliquez sur
b.
Cliquez sur Stratégie informatique ou un type de profil.
c.
Dans la liste déroulante, cliquez sur le nom de la stratégie informatique que vous souhaitez attribuer au groupe.
d.
.
7.
Pour attribuer une application au groupe lié par annuaire, dans la section Applications attribuées, cliquez sur
8.
Recherchez l'application.
9.
Dans les résultats de la recherche, sélectionnez l'application.
.
10. Cliquez sur Suivant.
11. Dans la liste déroulante Disposition de l'application, exécutez l'une des opérations suivantes :
•
Pour installer l'application automatiquement sur les terminaux et empêcher les utilisateurs de la supprimer,
cliquez sur Requis. Cette option n'est pas disponible pour les applications BlackBerry.
•
Pour permettre aux utilisateurs d'installer et de supprimer l'application, sélectionnez Facultatif.
12. Pour les terminaux iOS : si vous souhaitez attribuer des paramètres VPN par application à une application ou un groupe
d'applications, sélectionnez les paramètres à associer dans la liste déroulante VPN par application.
198
13. Cliquez sur Attribuer.
Créer un groupe local
1.
2.
Cliquez sur
3.
Saisissez le nom du groupe d'utilisateurs.
4.
Pour attribuer un rôle d'utilisateur au groupe local, procédez comme suit :
5.
.
a.
b.
Dans la liste déroulante, cliquez sur le nom du rôle d'utilisateur que vous souhaitez attribuer au groupe.
c.
.
Pour attribuer une stratégie informatique ou un profil au groupe local, procédez comme suit :
a.
Dans la section Profils et stratégies informatiques, cliquez sur
b.
c.
d.
.
6.
Pour attribuer une application au groupe d'utilisateurs, dans la section Applications attribuées, cliquez sur
7.
Recherchez l'application.
8.
Dans les résultats de la recherche, sélectionnez l'application.
9.
.
10. Dans la liste déroulante Disposition de l'application, exécutez l'une des opérations suivantes :
•
Pour installer l'application automatiquement sur les terminaux et empêcher les utilisateurs de la supprimer,
cliquez sur Requis. Cette option n'est pas disponible pour les applications BlackBerry.
•
Pour autoriser les utilisateurs à installer et à supprimer l'application, sélectionnez Facultatif.
Remarque: si la même application est attribuée à un compte d'utilisateur et au groupe d'utilisateurs auquel
appartient l'utilisateur, la disposition de l'application attribuée au compte d'utilisateur est prioritaire
13. Après avoir spécifié les propriétés du groupe d'utilisateurs, cliquez sur Ajouter.
199
Afficher un groupe d'utilisateurs
1.
2.
3.
4.
Pour afficher les membres d'un groupe d'utilisateurs, procédez comme suit :
5.
a.
Cliquez sur Utilisateurs pour afficher les comptes d'utilisateur attribués.
b.
Cliquez sur Groupes imbriqués pour afficher les groupes imbriqués attribués.
Cliquez sur Paramètres pour afficher les informations suivantes sur un groupe d'utilisateurs :
•
Groupes de répertoires associés (disponibles pour un groupe lié par annuaire)
•
Stratégie informatique attribuée, profils et applications
Modifier le nom d'un groupe d'utilisateurs
1.
2.
Recherchez le groupe d'utilisateurs que vous souhaitez afficher.
3.
Cliquez sur le groupe d'utilisateurs.
4.
Cliquez sur
5.
Modifiez le nom d'un groupe d'utilisateurs.
6.
.
Supprimer un groupe d'utilisateurs
Lorsque vous supprimez un groupe d'utilisateurs, les utilisateurs du groupe ne sont pas supprimés. Les propriétés du groupe
attribuées à l'utilisateur sont supprimées ou modifiées.
1.
2.
Recherchez le groupe d'utilisateurs que vous souhaitez supprimer.
3.
4.
Cliquez sur
5.
.
200
Ajouter un groupe d'annuaires d'entreprise à un groupe lié par
annuaire existant
1.
2.
Cliquez sur le groupe lié par annuaire.
3.
4.
Cliquez sur
5.
Dans la section Groupes liés par annuaire, cliquez sur
6.
Saisissez le nom du groupe d'annuaires d'entreprise.
7.
8.
Sélectionnez le groupe d'annuaires d'entreprise dans la liste des résultats de la recherche.
9.
.
.
10. Si nécessaire, sélectionnez Relier les groupes imbriqués.
Ajouter des groupes imbriqués à un groupe d'utilisateurs
Lorsque vous ajoutez un groupe imbriqué à un groupe d'utilisateurs, tous les groupes appartenant au groupe imbriqué sont
également ajoutés.
Avant de commencer: Créez des groupes d'utilisateurs. Vous pouvez créer des groupes de répertoires associés ou des groupes
locaux.
1.
2.
3.
4.
Cliquez sur l'onglet Groupes imbriqués.
5.
Cliquez sur
6.
Sélectionnez un ou plusieurs groupes disponibles.
7.
.
Supprimer les groupes imbriqués d'un groupe d'utilisateurs
Vous pouvez supprimer les groupes imbriqués directement attribués à un groupe d'utilisateurs.
1.
201
2.
3.
4.
Cliquez sur l'onglet Groupes imbriqués.
5.
Cliquez sur
en regard de chaque groupe imbriqué que vous souhaitez supprimer.
Attribuer une stratégie informatique à un groupe d'utilisateurs
Avant de commencer: Créez une stratégie informatique.
1.
2.
3.
4.
5.
Dans la section Stratégie informatique et profils, cliquez sur
6.
Cliquez sur Stratégie informatique.
7.
8.
Si une stratégie informatique est déjà attribuée au groupe, cliquez sur Remplacer. Sinon, cliquez sur Attribuer.
.
Créer une stratégie informatique, à la page 154
Attribuer un profil à un groupe d'utilisateurs
Avant de commencer: créez des profils.
1.
2.
3.
4.
5.
6.
Cliquez sur un type de profil.
7.
Dans la liste déroulante, cliquez sur le nom du profil que vous souhaitez attribuer au groupe.
8.
Pour les types de profils classés, si le type de profil que vous avez sélectionné à l'étape 6 est déjà directement attribué au
groupe, cliquez sur Remplacer. Sinon, cliquez sur Attribuer.
202
.
Attribuer une application à un groupe d'utilisateurs
Lorsque vous attribuez des applications à un groupe d'utilisateurs, ces applications sont mises à la disposition de tous les
terminaux concernés que les membres du groupe d'utilisateurs ont activés. Vous pouvez également attribuer des applications à
des groupes d'utilisateurs pour des types de terminaux que les membres du groupe d'utilisateurs n'ont pas encore activés.
Ainsi, si un membre du groupe active ultérieurement un type de terminal différent, les applications qui conviennent seront
mises à la disposition du nouveau terminal.
Si un compte d'utilisateur est membre de plusieurs groupes d'utilisateurs présentant les mêmes applications ou groupes
d'applications, seule une instance de l'application ou du groupe d'applications apparait dans la liste des applications attribuées
à ce compte d'utilisateur. Une même application peut être directement attribuée au compte d'utilisateur ou héritée de groupes
d'utilisateurs ou de groupes de terminaux. Les paramètres de l'application (si l'application est requise, par exemple) sont
attribués en fonction de la priorité. Les groupes de terminaux bénéficient de la priorité la plus élevée, suivis des comptes
d'utilisateur, puis des groupes d'utilisateurs.
Avant de commencer:
•
Ajoutez l'application à la liste des applications disponibles.
•
Vous pouvez également ajouter des applications à un groupe d'applications.
•
Les utilisateurs doivent configurer Secure Work Space leurs terminaux avant de pouvoir installer les applications
sécurisées attribuées.
1.
2.
Dans l'onglet Groupes d'utilisateurs, cliquez sur le nom d'un groupe.
3.
Dans l'onglet Paramètres, dans la section Applications attribuées, cliquez sur
4.
Dans le champ de recherche, saisissez le nom, le fournisseur ou l'URL de l'application que vous souhaitez ajouter.
5.
Cochez la case en regard des applications ou du groupe d'applications que vous souhaitez attribuer au groupe
d'utilisateurs.
6.
7.
Dans la liste déroulante Disposition de l'application, exécutez l'une des opérations suivantes :
.
•
Pour demander aux utilisateurs d'installer l'application, sélectionnez Requis.
•
Pour autoriser des utilisateurs à installer ou supprimer l'application, sélectionnez Facultatif.
Remarque: si la même application est attribuée à un compte d'utilisateur, un groupe d'utilisateurs auquel
appartient l'utilisateur et au groupe de terminaux auquel appartient le terminal, la disposition de l'application
attribuée au groupe de terminaux est prioritaire.
203
8.
Pour les terminaux iOS, pour attribuer des paramètres VPN par application à une application ou à un groupe
d'applications, dans la liste déroulante VPN par application de l'application ou du groupe d'applications, sélectionnez les
paramètres à lui associer.
9.
Pour les terminaux iOS et Android, si une configuration d'application est disponible, sélectionnez-la pour l'attribuer à
l'application.
10. Effectuez l'une des tâches suivantes :
Tâche
Étapes
Si vous n'avez pas ajouté de compte VPP ou n'ajoutez pas
d'application iOS
1.
Si vous ajoutez une application iOS et avez ajouté au moins 1.
un compte VPP
2.
3.
Si vous avez attribué une licence à l'application, dans
la liste déroulante Licence d'application,
sélectionnez le compte VPP à associer à l'application.
4.
5.
s'affichent pour inscrire le compte VPP de leur entreprise
avant de pouvoir installer des applications prépayées. Les
utilisateurs doivent effectuer cette tâche une seule fois.
licences disponibles peuvent installer l'application. Si
l'application est une application requise ne disposant pas
de licence disponible, vous devez obtenir la licence avant
que l'utilisateur ne puisse installer l'application et ne soit
soumis à toutes les règles de conformité que vous avez
attribuées aux utilisateurs.
204
Attribuer un groupe d'applications à un groupe d'utilisateurs
Lorsque vous attribuez un groupe d'applications à un groupe d'utilisateurs, les applications de ce groupe sont mises à la
disposition des terminaux activés par les membres du groupe d'utilisateurs. Vous pouvez également attribuer des applications à
des groupes d'utilisateurs pour des types de terminaux que les membres du groupe d'utilisateurs n'ont pas encore activés.
Ainsi, si un membre du groupe active ultérieurement un type de terminal différent, les applications qui conviennent seront
mises à la disposition du nouveau terminal.
Si un compte d'utilisateur est membre de plusieurs groupes d'utilisateurs présentant les mêmes applications ou groupes
d'applications, seule une instance du groupe d'applications apparait dans la liste des applications attribuées à ce compte
d'utilisateur. Une même application peut être directement attribuée au compte d'utilisateur ou héritée de groupes d'utilisateurs
ou de groupes de terminaux. Les paramètres de l'application (si l'application est requise, par exemple) sont attribués en
fonction de la priorité : les groupes de terminaux bénéficient de la priorité la plus élevée, suivis des comptes d'utilisateur, puis
des groupes d'utilisateurs.
Avant de commencer:
•
Ajoutez des applications à un groupe d'applications.
•
1.
2.
Dans l'onglet Groupes d'utilisateurs, cliquez sur le nom d'un groupe.
3.
Dans l'onglet Paramètres, dans la section Applications attribuées, cliquez sur
4.
Dans le champ de recherche, saisissez le nom, le fournisseur ou l'URL de l'application que vous souhaitez ajouter.
5.
Cochez la case en regard des applications ou du groupe d'applications que vous souhaitez attribuer au groupe
d'utilisateurs.
6.
7.
.
•
•
Remarque: Si la même application est attribuée à un compte d'utilisateur, un groupe d'utilisateurs auquel
8.
9.
205
Tâche
Étapes
d'application iOS
1.
un compte VPP
2.
3.
4.
5.
s'affichent pour inscrire le compte VPP de leur entreprise
avant de pouvoir installer des applications prépayées. Les
utilisateurs doivent effectuer cette tâche une seule fois.
Création de groupes de terminaux
Un groupe de terminaux regroupe des terminaux dotés d'attributs communs, comme le modèle et le fabricant du terminal, le
type et la version du système d'exploitation, le fournisseur de services et l'appartenance du terminal (entreprise ou utilisateurs).
BES12 déplace automatiquement les terminaux à l'intérieur ou à l'extérieur des groupes de terminaux selon les attributs que
vous définissez.
206
Vous pouvez utiliser les groupes de terminaux pour appliquer différents ensembles de stratégies, profils et applications aux
terminaux attribués à un seul utilisateur. Par exemple, vous pouvez utiliser un groupe de terminaux pour appliquer une stratégie
informatique spécifique à tous les terminaux exécutant BlackBerry 10 OS ou tous les terminaux HTC EVO exécutant Android
OS 4.0 ou version ultérieure sur le réseau T-Mobile.
Les stratégies, profils et applications attribués à un groupe de terminaux sont prioritaires sur ceux attribués à un utilisateur ou à
un groupe d'utilisateurs. Vous ne pouvez cependant pas attribuer de profils d'activation ou certificats d'utilisateur aux groupes
de terminaux.
Créer un groupe de terminaux
1.
2.
Cliquez sur l'onglet Groupes de terminaux.
3.
Cliquez sur
4.
Saisissez le nom du groupe de terminaux.
5.
Dans la section Étendre à des groupes d'utilisateurs, vous pouvez sélectionner un ou plusieurs groupes d'utilisateurs à
appliquer au groupe de terminaux. Si vous ne sélectionnez aucun groupe d'utilisateurs, le groupe de terminaux s'applique
à tous les terminaux activés.
6.
Dans la première liste déroulante de la section Demande sur les terminaux, sélectionnez Un ou Tous.
.
Si vous sélectionnez Tous, les terminaux doivent satisfaire à tous les attributs que vous définissez pour rejoindre le groupe
de terminaux. Si vous sélectionnez Un, les terminaux doivent satisfaire à un des attributs que vous définissez pour
rejoindre le groupe de terminaux.
7.
Dans la section Demande sur les terminaux, procédez comme suit :
•
Dans la liste déroulante Attribut, cliquez sur un attribut.
•
Dans la liste déroulante Opérateur, cliquez sur un opérateur.
•
Dans la liste déroulante Valeur, cliquez sur une valeur ou saisissez une valeur.
Vous pouvez ajouter ou supprimer des lignes mieux définir votre demande.
8.
9.
Pour attribuer une stratégie informatique ou un profil au groupe de terminaux, procédez comme suit :
a.
Dans la section Profils et stratégies informatiques, cliquez sur
b.
c.
d.
.
10. Pour attribuer une application au groupe de terminaux, dans la section Applications attribuées, cliquez sur
207
.
11. Recherchez l'application.
12. Dans les résultats de la recherche, sélectionnez l'application.
13. Cliquez sur Suivant.
14. Dans la liste déroulante Disposition de l'application ou du groupe d'applications, exécutez l'une des opérations
suivantes :
•
S'il s'agit d'une application iOS ou Android : pour demander aux utilisateurs de suivre les actions définies pour
les applications du profil de conformité correspondant, sélectionnez Requis.
•
S'il s'agit d'une applicationWindows Phone :Pour installer automatiquement une application interne sur des
terminaux attribués, sélectionnezRequis. Si les utilisateurs désinstallent l'application interne requise, ils doivent
suivre les actions définies dans le profil de conformité correspondant.Pour les applications ajoutées
depuisWindows Store, sélectionnezRequispour demander aux utilisateurs de suivre les actions définies pour les
applications dans le profil de conformité correspondant. Cela s'applique uniquement aux terminaux
exécutantWindows Phone 8.1 ou version ultérieure.
•
S'il s'agit d'une applicationBlackBerry 10interne : pour installer automatiquement l'application interne sur les
terminaux attribués, sélectionnezRequis. Cette option est uniquement disponible pour applicationsBlackBerry
10internes. Les applications ajoutées depuis la boutiqueBlackBerry Worldpeuvent uniquement être facultatives.
•
Si le groupe d'applications est activé pour Android for Work, la disposition ne peut être définie que comme
requis.
•
Pour autoriser les utilisateurs à installer et à supprimer l'application, sélectionnez Facultatif.
Remarque: La même application peut être directement attribuée au compte d'utilisateur ou héritée de groupes
d'utilisateurs ou de groupes de terminaux. Les paramètres de l'application (si l'application est requise, par
exemple) sont attribués en fonction de la priorité : les groupes de terminaux sont prioritaires sur les comptes
d'utilisateur et les groupes d'utilisateurs.
16. Pour les iOS terminaux et Android, si une configuration d'application est disponible, sélectionnez cette configuration
d'application pour l'attribuer à l'application.
18. Après avoir spécifié les propriétés du groupe de terminaux, cliquez sur Ajouter.
Modifier un groupe de terminaux
1.
2.
3.
Cliquez sur le nom d'un groupe de terminaux que vous souhaitez modifier.
208
4.
Cliquez sur
.
5.
Procédez aux modifications nécessaires.
6.
Définition des paramètres des groupes de terminaux
Lorsque vous créez un groupe de terminaux, vous configurez une demande de terminaux incluant une ou plusieurs instructions
d'attribut. Vous pouvez spécifier si un terminal appartient au groupe de terminaux, s'il correspond à une instruction d'attribut
ou s'il correspond à toutes les instructions d'attribut. Chaque instruction d'attribut contient un attribut, un opérateur et une
valeur.
Attribut
Opérateurs
Valeurs
Opérateur
•
=
•
!=
Champ de texte. Saisissez le nom d'un fournisseur de
services, comme T-Mobile ou Bell.
•
Commence par
•
=
•
!=
•
Commence par
•
=
•
!=
•
Commence par
•
=
•
!=
•
=
•
!=
•
>=
•
<=
•
=
•
!=
Fabricant
Modèle
Système d'exploitation
Version OS
Propriété
Champ de texte. Saisissez le nom d'un fabricant de
terminaux, comme Apple ou BlackBerry.
Champ de texte. Saisissez le nom d'un modèle de terminal,
comme iPhone 5S ou BlackBerry Classic.
Liste déroulante. Choisissez Android, BlackBerry 10, iOS ou
Windows.
Champ de texte. Saisissez une version OS, comme 7.1.1 ou
10.3. Si vous utilisez cet attribut, vous devez également
spécifier l'attribut du système d'exploitation.
Liste déroulante. Choisissez Work, Personal ou Non spécifié.
209
Attribut
Opérateurs
Valeurs
Type d'activation
•
=
•
!=
Liste déroulante. Choisissez un type d'activation dans la liste.
La liste contient les mêmes types d'activation que ceux
disponibles pour l'affectation dans vos profils d'activation.
•
=
•
!=
•
Commence par
KNOX Workspace
Champ de texte. Saisissez une version Samsung KNOX
Workspace, telle que 2.2.
Afficher un groupe de terminaux
1.
2.
3.
Recherchez le groupe de terminaux que vous souhaitez afficher.
4.
Cliquez sur le groupe de terminaux.
5.
•
Pour afficher les terminaux attribués au groupe de terminaux, cliquez sur l'onglet Terminaux.
•
Pour afficher les groupes d'utilisateurs, les demandes sur les terminaux, les stratégies informatiques, les profils
ou les applications attribués au groupe de terminaux, sélectionnez l'onglet Paramètres.
Modifier le nom d'un groupe de terminaux
1.
2.
3.
4.
5.
Cliquez sur
6.
Modifiez le nom du groupe de terminaux
7.
8.
.
210
Supprimer un groupe de terminaux
Pour pouvoir supprimer un groupe de terminaux, vous devez être autorisé à gérer tous les groupes d'utilisateurs auxquels ce
groupe de terminaux a été appliqué.
1.
2.
3.
4.
5.
Cliquez sur
6.
.
Création et gestion de comptes d'utilisateur
Vous pouvez directement ajouter des comptes d'utilisateur àBES12ou, si vous vous êtes connectéBES12à votre annuaire
d'entreprise, ajouter des comptes d'utilisateur depuis celui-ci. Pour obtenir des informations sur la connexion deBES12à un
répertoire d'entreprise et sur l'activation de groupes liés par répertoire,reportez-vous au contenu relatif à la configuration.
Vous pouvez également utiliser un fichier .csv pour ajouter simultanément plusieurs comptes d'utilisateur à BES12.
Créer un compte d'utilisateur
Avant de commencer:
•
si vous souhaitez ajouter un utilisateur d'annuaire, vérifiez que BES12 est connecté à votre annuaire d'entreprise.
Pour obtenir des informations sur la connexion de BES12 à un répertoire d'entreprise et sur l'activation de groupes
liés par répertoire, reportez-vous au contenu relatif à la configuration.
•
Si vous souhaitez activer le service WatchDox by BlackBerry pour vos utilisateurs, vérifiez que le plug-in WatchDox
pour BES12 est installé sur chaque instance de BES12 dans votre environnement. Pour plus d'informations sur
l'installation du service WatchDox, contactez votre gestionnaire de compte WatchDox.
1.
2.
Cliquez sur Ajouter un utilisateur.
3.
211
Tâche
Étapes
Ajouter un utilisateur d'annuaire
1.
Dans le champ de recherche de l'onglet Répertoire d'entreprise, spécifiez
les critères de recherche de l'utilisateur d'annuaire que vous souhaitez
ajouter. Vous pouvez effectuer une recherche par nom, prénom, nom
d'affichage, nom d'utilisateur ou adresse électronique.
2.
Cliquez sur
3.
Dans les résultats de la recherche, sélectionnez le compte d'utilisateur.
1.
Cliquez sur l'onglet Local.
2.
Dans le champ Prénom, saisissez un prénom pour le compte d'utilisateur.
3.
Dans le champ Nom, saisissez un nom pour le compte d'utilisateur.
4.
Dans le champ Nom d'affichage, apportez des modifications, si
nécessaire. Le nom d'affichage est automatiquement configuré avec le
prénom et le nom que vous avez spécifiés.
5.
Dans le champ Nom d'utilisateur, saisissez un nom d'utilisateur unique
pour le compte d'utilisateur.
6.
Dans le champ Adresse électronique, saisissez une adresse électronique
pour le compte d'utilisateur. Une adresse électronique est obligatoire pour
le compte d'utilisateur, lorsque vous activez un service comme la gestion
de terminal ou WatchDox.
Ajouter un utilisateur local
4.
.
En présence de groupes locaux dans BES12 et si vous souhaitez ajouter le compte d'utilisateur aux groupes, dans la liste
Groupes disponibles, sélectionnez un ou plusieurs groupes et cliquez sur .
Lorsque vous créez un compte d'utilisateur, vous pouvez uniquement l'ajouter aux groupes locaux de BES12. Si le compte
d'utilisateur est membre d'un groupe lié par annuaire, il est automatiquement associé à ce groupe lors de la
synchronisation entre BES12 et votre annuaire d'entreprise.
Pour ajouter un compte d'utilisateur à des groupes auxquels a été attribué un rôle administratif, vous devez être
Administrateur de sécurité.
5.
Si vous ajoutez un utilisateur local, dans le champ Mot de passe de console, saisissez un mot de passe pour BES12 SelfService. Si un rôle administratif est attribué à l'utilisateur, il peut également utiliser le mot de passe pour accéder à la
console de gestion.
6.
Dans la section Services activés, sélectionnez l'option Autoriser l'utilisateur à gérer les terminaux.
7.
Si le plug-in WatchDox pour BES12 est installé dans le domaine, procédez comme suit pour activer le service WatchDox :
a.
Dans la section WatchDox by BlackBerry, cochez la case Activer WatchDox. Par défaut, les utilisateurs activés avec
le service WatchDox reçoivent le rôle de Visiteur.
b.
Sélectionnez un ou plusieurs rôles de l'utilisateur. Cliquez sur
212
.
8.
Tâche
Étapes
Générer automatiquement un mot de
passe d'activation pour l'utilisateur et
envoyer un e-mail d'activation
1.
Sélectionnez l'option Générer automatiquement le mot de passe
d'activation du terminal et envoyer un e-mail contenant des instructions
d'activation.
2.
Dans le champ Expiration de la période d'activation, spécifiez le nombre
de minutes, d'heures ou de jours pendant lesquels l'utilisateur est autorisé
à activer un terminal avant que son mot de passe d'activation expire.
3.
Dans la liste déroulante Modèle d'e-mail d'activation, cliquez sur un
modèle à utiliser pour l'e-mail d'activation.
1.
Sélectionnez l'option Définir le mot de passe d'activation du terminal.
2.
Saisissez un mot de passe d'activation.
3.
4.
Définir un mot de passe d'activation
pour l'utilisateur et, éventuellement,
Ne pas définir de mot de passe
d'activation pour l'utilisateur
9.
1.
a
Pour envoyer des instructions d'activation à l'utilisateur, dans la liste
déroulante Modèle d'e-mail d'activation, cliquez sur un modèle à
utiliser pour l'e-mail d'activation.
b
Si vous ne souhaitez pas envoyer les instructions d'activation à
l'utilisateur, décochez la case à cocher Envoyer un e-mail contenant
le mot de passe d'activation et les instructions. Vous devez
communiquer le mot de passe d'activation à l'utilisateur.
Sélectionnez l'option Ne pas définir de mot de passe d'activation du
terminal. Vous pouvez définir un mot de passe d'activation et envoyer un
e-mail d'activation ultérieurement.
Si vous utilisez des variables personnalisées, développez Variables personnalisées et spécifiez les valeurs appropriées
pour les variables que vous avez définies.
10. Effectuez l'une des opérations suivantes :
•
Pour enregistrer le compte d'utilisateur, cliquez sur Enregistrer.
•
Pour enregistrer le compte d'utilisateur et créer un autre compte d'utilisateur, cliquez sur Enregistrer et ajouter
nouveau.
Variables personnalisées, à la page 58
213
Création de comptes d'utilisateur à partir d'un fichier .csv
Vous pouvez manuellement créer le fichier .csv à l'aide du modèle de fichier .csv BES12, disponible au téléchargement dans
l'onglet Importer de la fenêtre Ajouter un utilisateur.
À propos du fichier .csv de comptes d'utilisateur
Vous pouvez importer les comptes d'utilisateur d'un fichier .csv vers BES12 pour créer simultanément plusieurs comptes
d'utilisateur. Selon vos besoins, vous pouvez également spécifier l'appartenance à un groupe et les paramètres d'activation des
comptes d'utilisateur en incluant les colonnes suivantes dans le fichier .csv :
En-tête de colonne
Description
Appartenance à un groupe
Attribuez un ou plusieurs groupes d'utilisateurs à chaque compte
d'utilisateur.
Utilisez un point-virgule (;) pour séparer plusieurs groupes d'utilisateurs.
Si vous n'incluez pas la colonne « Appartenance à un groupe », lorsque vous
importez le fichier, vous avez la possibilité de sélectionner le groupe auquel
vous souhaitez ajouter tous les comptes d'utilisateur importés. Si vous
souhaitez attribuer chaque compte d'utilisateur à un groupe d'utilisateurs
spécifique, vous pouvez utiliser cette colonne avant d'importer le fichier.
Mot de passe d'activation
Saisissez le mot de passe d'activation.
Cette valeur est obligatoire si le paramètre Génération du mot de passe
d'activation est défini sur Manuelle.
Modèle d'activation
Entrez le nom du modèle d'e-mail d'activation que vous souhaitez envoyer à
l'utilisateur. Si vous n'indiquez pas de nom, le modèle d'activation par e-mail
par défaut est utilisé.
Expiration du mot de passe d'activation
Saisissez, en secondes, la durée de validité du mot de passe d'activation
arrivée à expiration.
Génération du mot de passe d'activation
Saisissiez un des éléments suivants :
•
Auto Le mot de passe d'activation est automatiquement créé et
envoyé à l'utilisateur.
•
Manuelle Le mot de passe d'activation est défini dans la colonne
« Mot de passe d'activation ».
Si la valeur est vierge, la valeur par défaut est Auto.
Envoyer un e-mail d'activation
Saisissiez un des éléments suivants :
214
En-tête de colonne
Description
•
Vrai. L'e-mail d'activation est envoyé à l'utilisateur.
•
Faux. L'e-mail d'activation n'est pas envoyé à l'utilisateur.
Si le paramètre Génération du mot de passe d'activation est défini sur Auto,
l'e-mail d'activation est envoyé à l'utilisateur quelle que soit la valeur de
cette colonne. Si le paramètre Génération du mot de passe d'activation est
défini sur Manuelle et que cette valeur est vide, la valeur par défaut est Vrai.
Type d'utilisateur
UID de l'annuaire
Cette colonne est nécessaire chaque fois que le fichier .csv comprend des
comptes locaux et des comptes d'utilisateur associés à l'annuaire. Saisissiez
un des éléments suivants :
•
L pour comptes d'utilisateur locaux
•
D pour comptes d'utilisateur associés à l'annuaire
(Facultatif) Alternative à la saisie d'une adresse électronique pour les
comptes d'utilisateur associés à l'annuaire. Par défaut, l'adresse
électronique est utilisée pour valider les comptes d'utilisateur associés à
l'annuaire, mais vous pouvez indiquer que l'UID de l'annuaire sera utilisé. Si
le compte d'utilisateur ne peut pas être validé par l'UID de l'annuaire, une
erreur est signalée.
Voici un exemple de fichier .csv :
Username, First name, Last name, Display name, Contact email, Group membership,
Activation password, Activation template, Activation Password Expiration, Activation
Password Generation, Send activation email, User Type
JJones1, Justin1, Jones, Justin1 Jones, [email protected], Sales, password, Windows
10 Template, 172800, manual, true, d
JJones2, Justin2, Jones, Justin2 Jones, [email protected], Sales;Pre Sales, , ,
auto, true, l
JJones3, Justin3, Jones, Justin3 Jones, [email protected], Sales;Pre Sales,
password, 172800, manual, true, d
JJones4, Justin4, Jones, Justin4 Jones, [email protected], Sales, password, 172800,
manual, true, d
Comment BES12 valide le fichier .csv des comptes d'utilisateur
BES12 valide le fichier .csv des comptes d'utilisateur avant, pendant et immédiatement après le chargement fichier .csv et
signale toutes les erreurs rencontrées.
Voici quelques-unes des erreurs qui empêchent BES12 de charger le fichier .csv :
•
Format de fichier ou extension de fichier non valide
•
Fichier vide
215
•
Le nombre de colonnes ne correspond pas au nombre d'en-têtes dans le fichier
Lorsque BES12 rencontre une erreur, il arrête de charger le fichier et affiche un message d'erreur. Vous devez corriger cette
erreur et recharger le fichier .csv.
Une fois le fichier .csv chargé, BES12 affiche la liste des comptes d'utilisateur qui seront importés et, le cas échéant, les
comptes d'utilisateur associés à l'annuaire qui ne seront pas importés suite à une erreur (entrée dupliquée ou adresse
électronique incorrecte). Vous pouvez effectuer l'une des actions suivantes :
•
Annuler l'opération, corriger les erreurs, puis recharger le fichier .csv.
•
Continuer et charger les comptes d'utilisateur valides. Les comptes d'utilisateur associés à l'annuaire comportant des
erreurs ne sont pas chargés. Vous devez copier et corriger les comptes d'utilisateur associés à l'annuaire qui n'ont pas
été chargés dans un fichier .csv distinct. En effet, le rechargement du même fichier .csv créera des erreurs de
duplication au niveau des comptes d'utilisateur correctement chargés précédemment.
BES12 effectue une validation finale des comptes d'utilisateur importés juste avant de créer les comptes d'utilisateur afin de
vérifier qu'aucune erreur n'est survenue lors de l'importation du fichier (autre utilisateur créant un compte d'utilisateur sous
forme de fichier .csv contenant le même compte d'utilisateur que celui importé, par exemple).
Ajouter des comptes d'utilisateur à l'aide d'un fichier .csv
Avant de commencer:
•
Si le fichier .csv contient des comptes d'utilisateur associés à l'annuaire, vérifiez que BES12 est connecté à votre
annuaire d'entreprise.
•
Vérifiez que le nombre de colonnes correspond au nombre d'en-têtes du fichier .csv.
•
Vérifiez que les colonnes obligatoires sont incluses.
•
Vérifiez que les informations des colonnes sont correctes.
1.
2.
Dans le volet de gauche, cliquez sur Ajouter un utilisateur.
3.
Cliquez sur l'onglet Importer.
4.
Cliquez sur Parcourir et accédez au fichier .csv contenant les comptes d'utilisateur que vous souhaitez ajouter.
5.
Cliquez sur Charger.
6.
Si des erreurs ont été signalées, procédez comme suit :
7.
a.
Corrigez les erreurs dans le fichier .csv.
b.
Cliquez sur Parcourir et accédez au fichier .csv.
c.
Cliquez sur Charger.
d.
Répétez l'étape 6 jusqu'à ce que toutes les erreurs soient corrigées.
Si le fichier .csv n'utilise pas la colonne « Appartenance à un groupe » et que des groupes locaux sont présents dans
BES12, procédez comme suit pour ajouter des comptes d'utilisateur aux groupes :
216
a.
Dans la liste Groupes disponibles, sélectionnez un ou plusieurs groupes, puis cliquez sur .
b.
Lorsque vous importez le fichier .csv, tous les comptes d'utilisateur sont ajoutés aux groupes locaux que vous
sélectionnez. Si le compte d'utilisateur est membre d'un groupe lié par annuaire, il est automatiquement associé à ce
groupe lors de la synchronisation entre BES12 et votre annuaire d'entreprise.
Pour ajouter des comptes d'utilisateur à des groupes auxquels a été attribué un rôle administratif, vous devez être
8.
Examinez la liste des comptes d'utilisateur et effectuez l'une des opérations suivantes :
•
Pour corriger les erreurs liées aux comptes d'utilisateur associés à l'annuaire non valides, cliquez sur Annuler et
passez à l'étape 6.
•
Pour ajouter les comptes d'utilisateur valides, cliquez sur Importer. Les comptes d'utilisateur associés à
l'annuaire non valides sont ignorés.
Afficher un compte d'utilisateur
Vous pouvez afficher des informations sur un compte d'utilisateur dans l'onglet Synthèse. Par exemple, vous pouvez consulter
les informations suivantes :
•
Terminaux activés
•
Groupes d'utilisateurs auxquels appartient un compte d'utilisateur
•
Stratégie informatique attribuée, profils et applications
1.
2.
3.
Gestion simultanée de plusieurs comptes utilisateur
Vous pouvez effectuer certaines actions pour plusieurs utilisateurs à la fois. Par exemple, vous pouvez envoyer un e-mail au
groupe d'utilisateurs de votre choix.
Avant de commencer: Configuration de la vue par défaut ou avancée.
1.
2.
Si nécessaire, Filtrage de la liste d'utilisateurs.
3.
•
Cochez la case en haut de la liste d'utilisateurs pour sélectionner tous les utilisateurs.
217
•
4.
Cochez la case pour chaque utilisateur que vous souhaitez inclure.
Dans le menu, cliquez sur l'une des icônes suivantes :
Icône
Description
Localiser un terminal
Envoyer un e-mail aux utilisateurs
Envoyer un e-mail d'activation à plusieurs utilisateurs
Ajouter des utilisateurs à des groupes d'utilisateurs
Supprimer Secure Work Space des terminaux
Exportation d'une liste d'utilisateurs vers un fichier .csv
Envoyer un e-mail aux utilisateurs
Vous pouvez envoyer un e-mail à un ou plusieurs utilisateurs directement depuis la console de gestion. Les utilisateurs doivent
posséder une adresse électronique associée à leur compte.
Avant de commencer: pour envoyer un e-mail à plusieurs utilisateurs, vous devez disposer d'un rôle administratif possédant
l'autorisation Envoyer un e-mail aux utilisateurs.
1.
2.
Tâche
Étapes
Envoyer un e-mail à un utilisateur
1.
2.
Dans les résultats de la recherche, cliquez sur le nom du compte
d'utilisateur.
3.
Cliquez sur
4.
Vous pouvez également cliquer sur CC et saisir une ou plusieurs adresses
électroniques (séparées par des virgules ou des points-virgules) pour
mettre en copie l'e-mail à vous-même ou à d'autres personnes.
1.
Cochez la case pour chaque utilisateur auquel vous souhaitez envoyer un
e-mail.
Envoyer des e-mails à plusieurs
utilisateurs
.
218
Tâche
Étapes
3.
Saisissez un objet et un message.
4.
Cliquez sur Envoyer.
2.
Cliquez sur
3.
Vous pouvez également cliquer sur À ou CC et saisir une ou plusieurs
adresses électroniques (séparées par des virgules ou des points-virgules)
pour envoyer ou mettre en copie l'e-mail à vous-même ou à d'autres
personnes.
.
Modifier les informations de compte d'utilisateur
Vous pouvez modifier les informations utilisateur suivantes :
•
Nom, nom d'utilisateur, nom d'affichage et adresse électronique
•
Appartenance aux groupes (L'appartenance aux groupes liés par répertoire ne peut pas être modifiée.)
•
Mot de passe de console pour les comptes utilisateur locaux
•
Rôle d'utilisateur
•
Si vous avez défini des variables personnalisées, vous pouvez modifier les informations de ces variables.
1.
2.
3.
4.
Cliquez sur
5.
Modifiez les informations du compte d'utilisateur.
6.
.
Synchroniser des informations pour un utilisateur d'annuaire
Si vous avez ajouté un compte d'utilisateur à partir de votre annuaire d'entreprise, vous pouvez synchroniser manuellement les
informations de cet utilisateur avec votre annuaire d'entreprise, sans attendre la synchronisation automatique.
1.
2.
3.
219
4.
Cliquez sur
.
Supprimer un compte d'utilisateur
Lorsque vous supprimez un compte d'utilisateur, les données professionnelles sont également supprimées de tous les
terminaux de l'utilisateur.
Avant de commencer:
•
Désactivez tous les terminaux associés au compte d'utilisateur que vous souhaitez supprimer.
•
Supprimez tous les services associés au compte d'utilisateur que vous souhaitez supprimer. .
1.
2.
3.
Dans les résultats de la recherche, sélectionnez le nom d'un compte d'utilisateur.
4.
Cliquez sur
5.
.
Ajouter des utilisateurs à des groupes d'utilisateurs
Remarque: pour ajouter un utilisateur auquel a été attribué un rôle administratif à un groupe d'utilisateurs, vous devez être
1.
2.
Cochez la case en regard des utilisateurs que vous souhaitez ajouter aux groupes d'utilisateurs.
3.
Cliquez sur
4.
Dans la liste Groupes disponibles, sélectionnez un ou plusieurs groupes, puis cliquez sur .
.
Remarque: l'appartenance aux groupes de répertoires associés ne peut pas être modifiée.
5.
Modifier les groupes auxquels appartient un utilisateur
Remarque: pour modifier les groupes d'utilisateurs auquel appartient un utilisateur doté d'un rôle administratif, vous devez être
1.
2.
3.
220
4.
Dans la section Appartenance à un groupe, cliquez sur
5.
Effectuez l'une des actions suivantes :
.
•
Pour ajouter l'utilisateur aux groupes d'utilisateurs, dans la liste Groupes disponibles, sélectionnez un ou
plusieurs groupes et cliquez sur .
•
Pour supprimer l'utilisateur des groupes d'utilisateurs, dans la liste Membre de groupes, sélectionnez un ou
plusieurs groupes et cliquez sur .
Remarque: l'appartenance aux groupes de répertoires associés ne peut pas être modifiée.
6.
Supprimer un utilisateur d'un groupe d'utilisateurs
Vous ne pouvez pas supprimer un utilisateur d'un groupe lié par annuaire.
Remarque: pour supprimer un utilisateur doté d'un rôle administratif d'un groupe d'utilisateurs, vous devez être Administrateur
de sécurité.
1.
2.
Recherchez le groupe d'utilisateurs que vous souhaitez modifier.
3.
4.
Recherchez l'utilisateur que vous souhaitez supprimer.
5.
Sélectionnez l'utilisateur.
6.
Cliquez sur
.
Attribuer une stratégie informatique à un compte d'utilisateur
Avant de commencer: Créez une stratégie informatique.
1.
2.
3.
4.
5.
Cliquez sur Stratégie informatique.
6.
Dans la liste déroulante, cliquez sur le nom de la stratégie informatique que vous souhaitez attribuer à l'utilisateur.
7.
Si une stratégie informatique est déjà attribuée à l'utilisateur, cliquez sur Remplacer. Sinon, cliquez sur Attribuer.
221
.
Créer une stratégie informatique, à la page 154
Attribuer un profil à un compte d'utilisateur
Avant de commencer: créez des profils.
1.
2.
3.
4.
5.
Cliquez sur un type de profil.
6.
Dans la liste déroulante, cliquez sur le nom du profil que vous souhaitez attribuer à l'utilisateur.
7.
Pour les types de profils classés, si le type de profil que vous avez sélectionné à l'étape 5 est déjà directement attribué à
l'utilisateur, cliquez sur Remplacer. Sinon, cliquez sur Attribuer.
.
Ajouter un certificat client à un compte d'utilisateur
Si les terminaux utilisent l'authentification basée sur des certificats pour se connecter à un réseau ou serveur dans
l'environnement de votre organisation, vous devrez peut-être distribuer des certificats client aux terminaux. Selon le type
d'activation du terminal, vous pouvez ajouter un certificat client à un compte d'utilisateur individuel et envoyer le certificat aux
terminaux iOS et Android de l'utilisateur. Cette option est prise en charge par les terminaux activés avec Contrôles MDM, ainsi
que les terminaux Samsung KNOX et Android for Work.
Le certificat client doit porter une extension .pfx ou .p12. Vous pouvez envoyer plusieurs certificats client aux terminaux.
Si votre entreprise dispose d'un un service SCEP, vous pouvez également utiliser les profils SCEP pour inscrire les certificats
client sur les BlackBerry 10, les terminaux iOS et les terminaux Android avec activations Secure Work Space, KNOX Workspace
ou MDM KNOX.
1.
2.
3.
Dans les résultats de la recherche, cliquez sur le nom d'un compte d'utilisateur.
4.
5.
Cliquez sur Certificat utilisateur.
6.
Saisissez la description du certificat.
222
.
7.
Dans le champ Mot de passe, saisissez un mot de passe pour le certificat. Pour les terminaux iOS, un mot de passe est
requis. Pour les terminaux Android, vous n'avez pas à fournir de mot de passe dans BES12 si le terminal exécute la version
la plus récente de BES12 Client. Si vous ne saisissez pas le mot de passe dans BES12, l'utilisateur doit saisir le mot de
passe du terminal.
8.
9.
Modifier un certificat client pour un compte d'utilisateur
1.
2.
3.
4.
Dans la section Profils et stratégies informatiques, cliquez sur le certificat d'utilisateur que vous souhaitez modifier.
5.
Cliquez sur
6.
Procédez aux modifications nécessaires. Si la section Appliquer le certificat à est visible dans la boite de dialogue, vous
ne pouvez pas modifier les terminaux auxquels le certificat s'applique.
7.
.
Attribuer une application à un compte d'utilisateur
Si vous devez contrôler les applications au niveau utilisateur, vous pouvez attribuer des applications ou des groupes
d'applications à des comptes d'utilisateur. Lorsque vous attribuez une application à un utilisateur, celle-ci est mise à la
disposition de tous les terminaux activés par l'utilisateur pour ce type de terminal et l'application est répertoriée dans le
catalogue des applications professionnelles du terminal.
Vous pouvez également attribuer des applications aux utilisateurs de certains types de terminaux que l'utilisateur n'a pas
encore activés. Si l'utilisateur active ultérieurement un type de terminal différent, les applications qui conviennent seront mises
à la disposition du nouveau terminal.
Une même application peut être directement attribuée au compte d'utilisateur ou héritée de groupes d'utilisateurs ou de
groupes de terminaux. Les paramètres de l'application (si l'application est requise, par exemple) sont attribués en fonction de
la priorité : les groupes de terminaux bénéficient de la priorité la plus élevée, suivis des comptes d'utilisateur, puis des groupes
d'utilisateurs.
Avant de commencer:
•
Ajouter l'application à la liste des applications disponibles
•
Vous pouvez également ajouter des applications à un groupe d'applications
•
223
1.
Sur la barre de menus, cliquez sur Utilisateurs > Tous les utilisateurs.
2.
3.
4.
Dans la section Applications, cliquez sur
5.
Cochez la case en regard des applications ou du groupe d'applications que vous souhaitez attribuer au compte
d'utilisateur.
6.
7.
.
•
•
8.
9.
Pour les terminaux iOS et Android, si une configuration d'application est disponible, sélectionnez-la pour l'attribuer à
l'application.
10. Si vous ajoutez une application iOS, effectuez l'une des tâches suivantes :
Tâche
Étapes
d'application iOS
1.
un compte VPP
2.
3.
4.
224
Tâche
Étapes
5.
s'affichent pour inscrire le compte VPP de leur
entreprise avant de pouvoir installer des applications
prépayées. Les utilisateurs doivent effectuer cette
tâche une seule fois.
Attribuer un groupe d'applications à un compte d'utilisateur
Si vous devez contrôler les applications au niveau utilisateur, vous pouvez attribuer des applications ou des groupes
d'applications à des comptes d'utilisateur. Lorsque vous attribuez une application à un utilisateur, celle-ci est mise à la
disposition de tous les terminaux activés par l'utilisateur pour ce type de terminal et l'application est répertoriée dans le
catalogue des applications professionnelles du terminal.
Vous pouvez également attribuer des applications aux utilisateurs de certains types de terminaux que l'utilisateur n'a pas
encore activés. Si l'utilisateur active ultérieurement un type de terminal différent, les applications qui conviennent seront mises
à la disposition du nouveau terminal.
Une même application peut être directement attribuée au compte d'utilisateur ou héritée de groupes d'utilisateurs ou de
groupes de terminaux. Les paramètres de l'application (si l'application est requise, par exemple) sont attribués en fonction de
la priorité : les groupes de terminaux bénéficient de la priorité la plus élevée, suivis des comptes d'utilisateur, puis des groupes
d'utilisateurs.
Avant de commencer:
1.
•
Ajouter des applications à un groupe d'applications
•
Sur la barre de menus, cliquez sur Utilisateurs > Tous les utilisateurs.
225
2.
3.
4.
Dans la section Applications, cliquez sur
5.
Cochez la case en regard des applications ou du groupe d'applications que vous souhaitez attribuer au compte
d'utilisateur.
6.
7.
.
•
•
8.
9.
Si vous ajoutez une application iOS, effectuez l'une des tâches suivantes :
Tâche
Étapes
d'application iOS
1.
un compte VPP
2.
3.
4.
5.
226
Tâche
Étapes
s'affichent pour inscrire le compte VPP de leur
entreprise avant de pouvoir installer des applications
prépayées. Les utilisateurs doivent effectuer cette
tâche une seule fois.
Affichage et personnalisation de la liste
d'utilisateurs
Vous pouvez afficher et personnaliser la liste d'utilisateurs en définissant la vue par défaut ou avancée, puis en sélectionnant les
informations à afficher dans la liste d'utilisateurs. Vous pouvez sélectionner et réorganiser les colonnes de la liste d'utilisateurs,
des colonnes supplémentaires étant disponibles dans la vue avancée.
Vous pouvez utiliser des filtres pour afficher uniquement les informations utiles à votre tâche. Vous pouvez choisir de filtrer la
liste d'utilisateurs en sélectionnant un filtre ou plusieurs filtres à la fois. Dans la vue par défaut, vous pouvez filtrer la liste des
utilisateurs par système d'exploitation, fournisseur de services sans fil, groupe, stratégie informatique attribuée, propriété et
non-conformité. Plus de catégories sont disponibles dans la vue avancée. Par exemple, vous pouvez filtrer la liste d'utilisateurs
par modèle, version du système d'exploitation et type d'activation.
À des fins d'analyse approfondie et de génération de rapports, vous pouvez exporter la liste d'utilisateurs vers un fichier .csv.
Configuration de la vue par défaut ou avancée
Vous pouvez définir la vue utilisée par votre navigateur pour afficher la liste d'utilisateurs dans BES12. Plusieurs colonnes et
catégories de filtre sont disponibles dans la vue avancée.
Remarque: dans les environnements à grande échelle, la vue avancée peut mettre plus de temps à s'afficher que la vue par
défaut.
1.
227
2.
Dans le coin supérieur droit, cliquez sur Par défaut ou sur Avancé.
Sélection des informations à afficher dans la liste des
utilisateurs
Avant de commencer: définissez la vue par défaut ou avancée.
1.
2.
Cliquez sur
3.
en haut de la liste d'utilisateurs et effectuez l'une des actions suivantes :
•
Cliquez sur Sélectionner tout ou sélectionnez la case de chaque colonne que vous souhaitez afficher.
•
Décochez la case de chaque colonne que vous souhaitez supprimer.
•
Cliquez sur Réinitialiser pour rétablir les sélections par défaut.
Pour réorganiser les colonnes, cliquez sur l'en-tête d'une colonne et faites-le glisser vers la gauche ou vers la droite.
Configuration de la vue par défaut ou avancée, à la page 227
Filtrage de la liste d'utilisateurs
Lorsque vous activez la sélection multiple, vous pouvez sélectionner plusieurs filtres avant de les appliquer et vous pouvez
choisir plusieurs filtres sous chaque catégorie. Lorsque vous désactivez la sélection multiple, chaque filtre est appliqué lorsque
vous le sélectionnez et vous ne pouvez choisir qu'un seul filtre sous chaque catégorie.
1.
2.
Dans le volet de gauche, cliquez sur
3.
Sous Filtres, développez une ou plusieurs catégories.
pour activer ou désactiver la sélection multiple.
Chaque catégorie comprend uniquement des filtres qui affichent les résultats et chaque filtre indique le nombre de
résultats à afficher lorsque vous l'appliquez.
4.
5.
•
Si vous avez activé la sélection multiple, cochez la case en regard de chaque filtre que vous souhaitez appliquer
et cliquez sur Soumettre.
•
Si vous avez désactivé la sélection multiple, cliquez sur le filtre que vous souhaitez appliquer.
Dans le volet de droite, vous pouvez également cliquer sur Effacer tout ou cliquez sur
souhaitez supprimer.
228
pour chaque filtre que vous
Exportation d'une liste d'utilisateurs vers un fichier .csv
Lorsque vous exportez la liste d'utilisateurs vers un fichier .csv, le fichier inclut toutes les colonnes disponibles dans la vue par
défaut ou avancée.
1.
2.
Si nécessaire, utilisez un filtre pour la liste d'utilisateurs.
3.
4.
•
Cochez la case en haut de la liste d'utilisateurs pour sélectionner tous les utilisateurs.
•
Cochez la case pour chaque utilisateur que vous souhaitez inclure dans le fichier.
Cliquez sur
et enregistrez le fichier.
Filtrage de la liste d'utilisateurs, à la page 228
229
Activation des terminaux
12
Lorsque vous activez un terminal, vous pouvez associer ce terminal à BES12 pour gérer les terminaux et l'accès des utilisateurs
aux données professionnelles de leurs terminaux.
Lorsqu'un terminal est activé, vous pouvez envoyer des stratégies informatiques et des profils pour contrôler les fonctionnalités
disponibles et gérer la sécurité des données professionnelles. Vous pouvez également attribuer des applications pour permettre
à l'utilisateur de les installer. Selon le niveau de contrôle lié au type d'activation sélectionné, vous pouvez également protéger le
terminal en limitant l'accès à certaines données, en définissant à distance des mots de passe, en verrouillant le terminal ou en
supprimant des données.
Vous pouvez attribuer des types d'activation pour répondre aux exigences des terminaux appartenant à votre organisation et
aux terminaux appartenant aux utilisateurs. Différents types d'activation vous offrent différents degrés de contrôle des données
professionnelles et personnelles des terminaux, du contrôle total de toutes les données au contrôle spécifique de données
professionnelles uniquement.
Étapes à suivre pour activer des terminaux
Pour activer des terminaux, procédez comme suit :
Étape
Action
Vérifiez que toutes les conditions d'activation sont remplies.
Configurez les paramètres d'activation par défaut.
Si vous envisagez de prendre en charge Android for Work, configurez BES12 pour qu'il se connecte à
votre domaine Google. Reportez-vous à la section Prise en charge des activations Android for Work .
mettez à jour le modèle de l'e-mail d'activation.
Si vous envisagez de prendre en charge les terminaux Windows 10, consultez la section Créer un modèle
d'e-mail d'activation Windows 10 .
Créez un profil d'activation et attribuez-le à un compte d'utilisateur ou à un groupe auquel appartient
l'utilisateur.
Définissez un mot de passe d'activation pour l'utilisateur.
230
Exigences : Activation
Pour tous les terminaux :
•
Une licence disponible dansBES12pour le terminal que vous souhaitez activer. Pour plus d'informations sur les
licences,consultez le contenu relatif aux licences.
•
Connexion sans fil
Pour les terminaux iOS :
•
La dernière version de l'application Good for BES12 installée sur le terminal
Pour les terminaux Android et Windows Phone 8.0 et 8.1 :
•
La dernière version de BES12 Client installée sur le terminal
Pour les terminaux Windows 10 et Windows 10 Mobile :
•
Un certificat BlackBerry Enterprise Server racine RSA installé sur le terminal
•
Pour les terminaux qui utilisent une configuration proxy, un proxy qui ne nécessite pas d'authentification. Pour plus
d'informations, reportez-vous à https://msdn.microsoft.com/en-us/library/windows/hardware/mt299056%28v=vs.
85%29.aspx#enrollment_via_proxy.
•
Pour les ordinateurs, Windows 10 Home n'offre qu'une prise en charge limitée. Pour plus d'informations, reportezvous à https://msdn.microsoft.com/en-us/library/windows/hardware/mt299056(v=vs.
85).aspx#Change_history_for_MDM_documentation.
Pour les terminaux Android attribués de façon à avoir un profil professionnel Android for Work et aucun profil personnel :
•
Un Google code d'activation
Gérer l'expiration et la longueur du mot de passe
d'activation par défaut
Vous pouvez spécifier la durée par défaut pendant laquelle un mot de passe d'activation reste valide avant expiration. Vous
pouvez également spécifier la longueur du mot de passe généré automatiquement envoyé aux utilisateurs dans un des e-mails
d'activation et spécifier si la période d'expiration expire après la première activation du terminal.
La valeur que vous saisissez pour l'expiration du mot de passe d'activation apparait comme paramètre par défaut dans le
champ Mot de passe d'activation des fenêtres Définir le mot de passe d'activation du terminal et Ajouter un utilisateur.
1.
231
2.
3.
Cliquez sur Paramètres d'activation par défaut.
4.
Dans le champ Expiration du mot de passe, saisissez la durée par défaut pendant laquelle un mot de passe d'activation
reste valide avant expiration. Cette durée par défaut peut être comprise entre 1 minute et 30 jours.
5.
Si nécessaire, cochez la case La période d'activation expire à l'issue de l'activation du premier terminal.
6.
Dans le champ Longueur du mot de passe d'activation généré automatiquement, remplacez la valeur par la longueur du
mot de passe d'activation généré automatiquement. Cette valeur peut être comprise entre 4 et 16.
7.
Sélectionnez ou désélectionnez l'option Activer l'inscription auprès de BlackBerry Infrastructure pour modifier la
manière dont les utilisateurs activent leurs terminaux mobiles. Si vous désélectionnez cette option, les utilisateurs seront
invités à indiquer l'adresse du serveur pour BES12 lors de l'activation de terminaux. Pour plus d'informations, reportezvous à Activer l'inscription de l'utilisateur auprès de BlackBerry Infrastructure .
8.
Activer l'inscription de l'utilisateur auprès de BlackBerry Infrastructure, à la page 232
Activer l'inscription de l'utilisateur auprès de
BlackBerry Infrastructure
L'inscription avec BlackBerry Infrastructure simplifie la manière dont les utilisateurs activent leurs terminaux mobiles. Une fois
l'inscription activée, les utilisateurs n'ont pas besoin de saisir l'adresse du serveur lorsqu'ils activent leurs terminaux.
L'inscription est activée par défaut. Si vous modifiez ce paramètre, vous devrez peut-être mettre à jour l'e-mail d'activation à
l'aide de la procédure suivie par les utilisateurs pour activer leurs terminaux.
Les terminaux exécutant Windows 10 et Windows 10 Mobile n'utilisent pas la même méthode pour contacter BlackBerry
Infrastructure et dès lors, l'activation ou la désactivation de l'inscription de l'utilisateur ne modifient en rien le processus
d'activation de ces terminaux.
1.
2.
3.
Cliquez sur Paramètres d'activation par défaut.
4.
Veillez à cocher la case Activer l'inscription auprès de BlackBerry Infrastructure.
5.
232
Prise en charge des activations Android for Work
En fonction de votre type de domaine Google et si autorisez BES12 à créer des comptes d'utilisateur dans le domaine Google, et
si vous prévoyez d'activer des terminaux avec un profil professionnel uniquement, vous devez exécuter différentes tâches pour
prendre en charge les activations des terminaux avec Android for Work.
•
Si vous disposez d'un domaine Google Apps for Work, consultez Prendre en charge les activations Android for Work
avec un domaine Google Apps for Work .
•
Si vous disposez d'un domaine Google for Work, consultez Prendre en charge les activations Android for Work avec un
domaine Google for Work .
Prendre en charge les activations Android for Work avec un
domaine Google Apps for Work
Si vous avez configuré BES12 pour se connecter à un domaine Google Apps for Work, vous devez exécuter les tâches suivantes
afin de permettre aux utilisateurs d'activer leurs terminaux avec un type d'activation Android for Work.
Avant de commencer:
•
Assurez-vous que vous disposez d'un domaine Google Apps for Work. Pour plus d'informations sur la création d'un
domaine Google Apps for Work, rendez-vous sur https://www.google.com/a/signup.
•
configurez BES12 pour la prise en charge de Android for Work. Pour plus d'informations sur la configuration de BES12
pour la prise en charge deAndroid for Work,consultez le contenu relatif à la configuration.
1.
Dans votre domaine Google Apps for Work, créez des comptes d'utilisateur pour vos utilisateurs Android for Work.
2.
Si vous prévoyez d'attribuer le type d'activation Espace Travail uniquement (Android for Work) et que certains utilisateurs
disposent de terminaux exécutant Android 6.0 ou version ultérieure, sélectionnez le paramètre Appliquer la stratégie
EMM dans le domaine Google Apps for Work.
3.
Dans BES12, créez des comptes d'utilisateur pour vos utilisateurs Android for Work. L'adresse électronique de chaque
compte doit correspondre à l'adresse électronique du compte Google Apps for Work correspondant.
4.
Assurez-vous que vos utilisateurs connaissent le mot de passe de leurs comptes Google Apps for Work.
5.
Assurez-vous que vos utilisateurs Android for Work peuvent accéder aux ressources de l'entreprise en attribuant un profil
de messagerie et le groupe d'applications « Applications Android for Work recommandées ».
233
Prendre en charge les activations Android for Work avec un
domaine Google for Work
Lorsque vous configurez BES12 pour se connecter à un domaine Google for Work, vous devez choisir si vous autorisez BES12 à
créer des comptes d'utilisateur dans ce domaine Google for Work. Ce choix affecte les tâches que vous devez exécuter avant
que les utilisateurs ne parviennent à activer leurs terminaux avec un type d'activation Android for Work.
Avant de commencer:
•
Assurez-vous que vous disposez d'un domaine Google for Work. Pour plus d'informations sur la création d'un domaine
Google for Work, rendez-vous sur https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK.
•
configurezBES12pour la prise en charge deAndroid for Work. Pour plus d'informations sur la configuration
deBES12pour la prise en charge deAndroid for Work,consultez le contenu relatif à la configuration.
Tâches à exécuter si BES12 ne peut pas créer de comptes d'utilisateur dans votre domaine
Google for Work
Si autorisez BES12 à créer des comptes d'utilisateur dans votre domaine Google for Work, vous devez créer des comptes
d'utilisateur dans votre domaine Google for Work et dans BES12.
1.
Dans BES12, créez des comptes d'utilisateur associés à l'annuaire pour vos utilisateurs Android for Work.
2.
•
Dans votre domaine Google for Work, créez des comptes d'utilisateur pour vos utilisateurs Android for Work.
Chaque adresse électronique doit correspondre à l'adresse électronique du compte d'utilisateur BES12
correspondant.
•
Utilisez l'outil Google Apps Directory Sync pour synchroniser votre domaine Google for Work avec votre annuaire
d'entreprise. Ce faisant, vous n'êtes pas tenu de créer de comptes d'utilisateur manuellement dans votre
domaine Google for Work.
3.
disposent de terminaux exécutant Android 6.0 ou version ultérieure, sélectionnez le paramètre Appliquer la stratégie
EMM dans le domaine Google for Work.
4.
Assurez-vous que vos utilisateurs Android for Work connaissent le mot de passe de leurs comptes Google for Work.
5.
Pour vous assurer que vos utilisateurs Android for Work peuvent accéder aux ressources professionnelles, attribuez un
profil de messagerie et le groupe d'applications « Applications Android for Work recommandées ».
Tâches à exécuter si BES12 peut créer de comptes d'utilisateur dans votre domaine
Google for Work
Si vous autorisezBES12à créer des comptes d'utilisateur dans votre domaineGoogle for Work, BES12 crée un compteGoogle for
Worklorsqu'un nouvel utilisateur active un terminal.BES12envoie le mot de passe du nouveau compte à l'adresse électronique
234
de l'utilisateur. Si vous choisissez cette option, assurez-vous que vous avez configuré le compte de serviceGooglede votre
domaineGoogle for Workde manière à autoriserBES12à créer des comptes d'utilisateur.
1.
Dans BES12, créez des comptes d'utilisateur associés à l'annuaire pour vos utilisateurs Android for Work.
2.
Pour vous assurer que vos utilisateurs Android for Work peuvent accéder aux ressources professionnelles, attribuez un
profil de messagerie et le groupe d'applications « Applications Android for Work recommandées ».
3.
disposent de terminaux exécutant Android 6.0 ou version ultérieure, sélectionnez, dans votre domaine Google for Work, le
paramètre Appliquer la stratégie EMM.
Sélectionnez les applications de productivité utilisées sur les
terminaux PRIV utilisant Android for Work
Pour pouvoir utiliser les applications de productivité sur les terminaux PRIV utilisant Android for Work, vous devez attribuer un
groupe d'applications contenant les applications de productivité que vous souhaitez placer sur les terminaux aux utilisateurs.
Vous disposez des options suivantes :
•
BlackBerry Productivity Suite : le groupe d'applications BlackBerry Productivity Suite contient les applications
suivantes : services BlackBerry, BlackBerry Hub, Calendrier BlackBerry, Contacts par BlackBerry, Notes par
BlackBerry et Tâches par BlackBerry.
•
Diviser la productivité : le groupe d'applications Divide Productivity contient les applications Android for Work de
Google dont la messagerie, le calendrier, les contacts, les tâches et les notes.
Avant de commencer:
•
configurezBES12pour la prise en charge deAndroid for Work. Pour plus d'informations sur la configuration
deBES12pour prendre en chargeAndroid for Work,consultez le contenu relatif à la configuration.
•
Attribuez un profil d'activation aux utilisateurs ou groupes d'utilisateurs avec l'un des types d'activation suivants :
◦
◦
◦
◦
1.
2.
Si les groupes d'applications Divide Productivity et BlackBerry Productivity Suite apparaissent déjà dans la liste
d'applications, assurez-vous que les applications correctes, comme indiqué à l'étape 4, ont été ajoutées aux groupes
d'applications, puis passez à l'étape 5.
3.
Si les groupes d'applications ne figurent pas déjà dans la liste d'applications, vous devez ajouter toutes les applications
suivantes à BES12.
•
https://play.google.com/store/apps/details?id=com.blackberry.infrastructure
235
4.
•
https://play.google.com/store/apps/details?id=com.blackberry.hub
•
https://play.google.com/store/apps/details?id=com.blackberry.calendar
•
https://play.google.com/store/apps/details?id=com.blackberry.contacts
•
https://play.google.com/store/apps/details?id=com.blackberry.notes
•
https://play.google.com/store/apps/details?id=com.blackberry.tasks
•
https://play.google.com/store/apps/details?id=com.google.android.apps.work.pim
En fonction de la suite de productivité que vous voulez utiliser, créez les groupes d'applications suivants.
Tâche
Étapes
Créer un groupe d'applications pour le BlackBerry
Productivity Suite
Ajoutez les applications suivantes :
Créer un groupe d'applications pour Divide Productivity
5.
•
Services BlackBerry
•
BlackBerry Hub
•
BlackBerryCalendrier
•
Contacts par BlackBerry
•
Notes par BlackBerry
•
Tâches par BlackBerry
Ajoutez Divide Productivity.
Attribuez le groupe d'applications aux utilisateurs, aux groupes d'utilisateurs ou aux groupes de terminaux.
Activation d’un BlackBerry Hub unifié sur des terminaux PRIV
qui utilisent Android for Work
BlackBerry Hub permet aux utilisateurs d’afficher les messages, notifications et évènements en un seul endroit. Pour permettre
aux utilisateurs de terminaux Android for Work d’afficher les messages professionnels et personnels dans BlackBerry Hub, vous
devez vérifier les paramètres suivants dans BES12 :
•
Dans l’onglet Android du profil de messagerie attribué aux utilisateurs, les éléments suivants doivent être
sélectionnés :
•
Autoriser le partage de données entre les profils professionnel et personnel
•
Autoriser les applications personnelles à accéder aux données professionnelles
Pour plus d'informations sur la création d’un profil de messagerie, consultez la section Créer un profil de messagerie.
•
Le groupe d'applications BlackBerry Productivity Suite doit être attribué aux utilisateurs.
236
Pour plus d'informations, reportez-vous à Sélectionnez les applications de productivité utilisées sur les terminaux
PRIV utilisant Android for Work .
Pour plus d'informations sur l'utilisation de BlackBerry Hub, reportez-vous au contenu relatif à BlackBerry Hub.
Pour obtenir des informations sur la résolution de problèmes, rendez-vous sur le site http://support.blackberry.com/kb et lisez
l'article 37721.
Prise en charge des activations Windows 10
Remarque: Si vous souhaitez gérer des terminaux Windows 10 à l'aide de MDM, les terminaux ne peuvent pas être gérés par
Microsoft System Center Configuration Manager.
Vous pouvez aider les utilisateurs à activer les terminauxWindows 10de deux manières :
•
Déployer un service de repérage pour simplifier les activationsWindows 10. Pour plus d'informations,reportez-vous au
contenu relatif à la configuration.
•
Créez ou modifiez un modèle d'e-mail d'activation pour fournir les informations d'activation Windows 10. Pour plus
d'informations, reportez-vous à Créer un modèle d'e-mail d'activation Windows 10 .
Gestion des modèles d'e-mail d'activation
Les modèles d'e-mail d'activation permettent de personnaliser les e-mails d'activation envoyés aux utilisateurs. Vous pouvez
insérer des variables pour les éléments tels que le nom d'utilisateur, l'adresse électronique ou le mot de passe d'activation. En
outre, vous pouvez personnaliser leur apparence à l'aide de l'éditeur HTML. Vous pouvez créer plusieurs modèles à utiliser pour
différents types de terminal ou d'activation. Vous pouvez modifier les modèles d'e-mail par défaut ou en créer de nouveaux.
Lorsque vous ajoutez un utilisateur à BES12 ou que vous définissez un mot de passe d'activation pour un utilisateur, vous
pouvez sélectionner un modèle d'e-mail. Ainsi, BES12 enverra l'e-mail personnalisé à l'utilisateur, rédigé d'après le modèle que
vous aurez sélectionné.
BES12 comprend quelques modèles d'email d'activation par défaut. Selon votre configuration BES12, vous verrez une partie
ou l'ensemble des modèles d'e-mail par défaut suivants dans Paramètres > Modèles d'e-mail :
Modèle d'e-mail
Description
E-mail d'activation par défaut
Vous pouvez modifier ce modèle par défaut, mais vous ne pouvez pas le supprimer.
Ce modèle contient les instructions dont un utilisateur a besoin pour activer son
terminal. Vous pouvez choisir d'envoyer deux e-mails distincts à l'utilisateur, le
premier contenant les instructions d'activation et le second uniquement le mot de
passe d'activation.
237
Modèle d'e-mail
Description
Si vous ne sélectionnez pas un autre modèle, BES12 utilise ce modèle lorsqu'il
envoie un e-mail d'activation à un utilisateur.
E-mail d'activation DEP de Apple
Vous pouvez modifier ou supprimer ce modèle.
Ce modèle contient les instructions dont un utilisateur a besoin pour activer un
terminal DEP Apple. Vous pouvez choisir d'envoyer deux e-mails distincts à
l'utilisateur, le premier contenant les instructions d'activation et le second
uniquement le mot de passe d'activation.
Si vous configurez BES12 pour utiliser DEP Apple, ce modèle est disponible.
Utilisateur de Android for Work
Ce modèle fournit des instructions pour activer Android for Work sur un terminal
ainsi que le mot de passe du compte Google de l'utilisateur.
Si vous configurez BES12 pour qu'il prenne en charge Android for Work, les
utilisateurs reçoivent automatiquement cet e-mail s'ils sont assignés à l'un des
•
•
Travail et Personnel - Confidentialité de l'utilisateur (Android for Work Premium)
Vous devez également sélectionner le modèle d'e-mail d'activation par défaut pour
fournir aux utilisateurs les instructions leur permettant d'activer leur terminal dans
BES12.
Mot de passe Android for Work
Ce modèle comprend un code d'activation Android for Work pour les utilisateurs qui
activent des terminaux avec un espace de travail uniquement.
Si vous configurez BES12 pour qu'il prenne en charge Android for Work, les
utilisateurs reçoivent automatiquement cet e-mail s'ils sont assignés à l'un des
•
•
Vous devez également sélectionner le modèle d'e-mail d'activation Espace Travail
uniquement (Android for Work) pour fournir aux utilisateurs les instructions leur
permettant d'activer leur terminal dans BES12.
E-mail d'activation Espace Travail
uniquement (Android for Work)
Vous pouvez modifier ou supprimer ce modèle.
238
Modèle d'e-mail
Description
Si vous configurez BES12 pour qu'il prenne en charge Android for Work, ce modèle
est disponible.
Créer un modèle d'e-mail d'activation
Avant de commencer: Si vous activez des terminaux à l'aide de Android for Work, consultez Créer un modèle d'e-mail
d'activation Android for Work.
1.
2.
3.
Cliquez sur
4.
Dans le champ Nom, saisissez un nom pour identifier ce modèle.
5.
Dans le champ Objet, modifiez le texte pour personnaliser la ligne d'objet du premier e-mail d'activation.
6.
Dans le champ Message, saisissez le corps du texte de l'e-mail d'activation.
. Sélectionnez Activation de terminal.
•
Utilisez l'éditeur HTML pour sélectionner le format de police et insérer des images (par exemple, un logo
d'entreprise).
•
Insérez des variables dans le texte pour personnaliser le message (par exemple, utilisez la
variable %UserDisplayName% pour insérer le nom du destinataire). Pour obtenir la liste des variables
disponibles, consultez Variables par défaut.
•
Pour obtenir un échantillon du texte, cliquez sur Texte suggéré.
•
Pour les activations de Windows 10, consultez Créer un modèle d'e-mail d'activation Windows 10 .
7.
Pour envoyer le mot de passe d'activation et les instructions d'activation dans des e-mails distincts, sélectionnez Envoyer
deux e-mails d'activation distincts : le premier pour les instructions, le second pour le mot de passe. Si vous décidez
d'envoyer un seul e-mail d'activation, veillez à inclure le mot de passe d'activation (ou la variable correspondante) dans le
premier e-mail.
8.
Dans le champ Objet, saisissez la ligne d'objet du second e-mail d'activation.
9.
Personnalisez le corps du texte du second e-mail d'activation que vous envoyez aux utilisateurs. Veillez à inclure le mot de
passe d'activation ou la variable du mot de passe d'activation.
Créer un modèle d'e-mail d'activation Windows 10
Vous pouvez aider les utilisateurs à activer des terminaux Windows 10 en créant ou en modifiant un modèle d'e-mail
d'activation qui effectue les opérations suivantes :
239
•
Explique que les utilisateurs doivent installer un certificat avant d'activer le terminal. Assurez-vous que les utilisateurs
de la tablette ou de l'ordinateur Windows 10 sélectionnent les options Utilisateur actuel et Autorités de certification
racine approuvées lors de l'installation du certificat.
•
Comprend la variable %RsaRootCaCertUrl% pour que les utilisateurs Windows 10 puissent télécharger le certificat
•
Comprend la variable %ClientlessActivationURL% pour fournir l'adresse du serveur Windows 10
•
Comprend un lien vers http://docs.blackberry.com/activate-your-device-on-BES12.html où les utilisateurs peuvent
regarder une vidéo du processus d'activation de Windows 10
Vous pouvez utiliser les exemples ci-dessous pour créer ou modifier votre modèle d'e-mail.
Exemple 1
•
Vous pouvez utiliser cet exemple en tant que texte supplémentaire dans le modèle d'e-mail
d'activation par défaut. Il inclut uniquement les liens supplémentaires requis pour activer un
terminal Windows 10.
Si vous activez un terminal Windows 10, vous aurez besoin des informations suivantes :
•
Adresse du serveur de certificat : %RsaRootCaCertUrl%
•
Adresse du serveur d'activation : %ClientlessActivationURL%
Example 2
•
Vous pouvez utiliser cet exemple comme modèle distinct pour les terminaux Windows 10
uniquement. Il comprend toutes les informations et instructions nécessaires pour les utilisateurs
Windows 10, mais ne contient pas d'informations pour les utilisateurs possédant d'autres types de
terminaux.
%UserDisplayName%,
Votre administrateur a activé votre terminal Windows 10 pour BES12. L'activation de votre terminal nécessite
les informations suivantes :
•
Le certificat situé ici : %RsaRootCaCertUrl%
•
Votre adresse électronique professionnelle: %UserEmailAddress%
•
Votre mot de passe d'activation : votre mot de passe d'activation sera envoyé dans un e-mail séparé
•
Vous pouvez également avoir besoin de l'adresse de votre serveur : %ClientlessActivationURL%
Si vous activez un terminal Windows 10 Mobile, procédez comme suit :
1.
Cliquez sur le lien suivant pour installer le certificat requis : %RsaRootCaCertUrl%. Veillez à sélectionner
la notification de téléchargement pour installer le certificat.
2.
Accédez à Paramètres > Comptes > Accès professionnel et sélectionnez Se connecter.
3.
Saisissez votre adresse électronique professionnelle et votre mot de passe d'activation. Vous pouvez
également avoir besoin de saisir l'adresse de serveur suivante : %ClientlessActivationURL%.
240
Si vous activez une tablette ou un ordinateur Windows 10, procédez comme suit :
1.
Cliquez sur le lien suivant pour installer le certificat requis : %RsaRootCaCertUrl%. Lors de l'installation
du certificat, choisissez l'emplacement du magasin de l'utilisateur actuel et spécifiez le magasin de
certificat Autorités de certification racine approuvées au lieu de laisser Windows 10 choisir le magasin
automatiquement.
2.
Accédez à Paramètres > Comptes > Accès professionnel et sélectionnez Se connecter.
3.
Saisissez votre adresse électronique professionnelle et votre mot de passe d'activation. Vous pouvez
également avoir besoin de saisir l'adresse de serveur suivante : %ClientlessActivationURL%.
Vous pouvez regarder une vidéo sur la façon d'activer votre terminal ici : http://docs.blackberry.com/activateyour-device-on-BES12.html
Vous pouvez gérer votre terminal Windows 10 dans BES12 Self-Service sur %UserSelfServicePortalURL%.
Pour vous connecter, utilisez les informations suivantes :
•
Nom d'utilisateur BES12 Self-Service : %UserName%
•
Votre mot de passe BES12 Self-Service peut être votre mot de passe de réseau existant, ou il peut
avoir été livré dans un e-mail séparé. Si vous ne connaissez pas votre mot de passe, contactez votre
administrateur.
Veuillez conserver ces informations dans vos dossiers.
Si vous avez des questions, contactez votre administrateur.
Bienvenue dans BES12 !
Créer un modèle d'e-mail d'activation Android for Work
Vous pouvez créer un modèle d'e-mail d'activation à envoyer aux utilisateurs en plus des e-mails Android for Work
automatiquement envoyés. Cette tâche est identique à celle de création de tout autre modèle d'email.
1.
Sur la barre de menus, cliquez sur Paramètres > Paramètres généraux.
2.
3.
Tâche
Étapes
Modifier un modèle existant
1.
Cliquez sur E-mail d'activation de l'espace Travail uniquement (Android
for Work).
2.
Modifiez le champ Nom, Objet ou Message. Si vous commettez une erreur
et que vous souhaitez recommencer, cliquez sur Annuler pour revenir à la
page Modèles d'e-mail.
3.
Une fois vos modifications terminées, cliquez sur Enregistrer.
241
Tâche
Étapes
Créer un nouveau modèle d'e-mail
1.
Cliquez sur
2.
Suivez les instructions de la section Créer un modèle d'e-mail d'activation.
. Sélectionnez Activation de terminal Android for Work.
Modifier un modèle d'e-mail d'activation
1.
2.
3.
Cliquez sur E-mail d'activation par défaut ou sur n'importe quel modèle existant que vous souhaitez modifier.
4.
Modifiez les champs Nom, Objet ou Message. Si vous commettez une erreur et que vous souhaitez tout recommencer,
cliquez simplement sur Annuler pour revenir à la page Modèles d'e-mail.
5.
Une fois vos modifications terminées, cliquez sur Enregistrer.
Variables par défaut, à la page 55
Création de profils d'activation
Vous pouvez contrôler la manière dont les terminaux sont activés et gérés à l'aide des profils d'activation. Un profil d'activation
indique le nombre et le type de terminaux qu'un utilisateur peut activer et le type d'activation à utiliser pour chaque type de
terminal.
Le type d'activation vous permet de configurer le niveau de contrôle dont vous disposez sur les terminaux activés. Vous pouvez
par exemple disposer d'un contrôle total sur un terminal que vous attribuez à un utilisateur, ou veiller à n'avoir aucun contrôle
sur les données personnelles d'un terminal appartenant à un utilisateur et qu'il apporte au travail.
•
Types d'activation : terminaux BlackBerry 10
•
Types d'activation : terminaux iOS
•
Types d'activation : terminaux OS X
•
Types d'activation : terminaux Android
•
Types d'activation : terminaux Windows
Le profil d'activation attribué s'applique uniquement aux terminaux activés par l'utilisateur après que vous avez attribué le
profil. Les terminaux déjà activés ne sont pas automatiquement mis à jour pour correspondre au profil d'activation nouveau ou
mis à jour.
242
Lorsque vous ajoutez un utilisateur à BES12, le profil d'activation par défaut est attribué au compte d'utilisateur. Vous pouvez
modifier le profil d'activation par défaut selon vos besoins ou créer un profil d'activation personnalisé et l'attribuer aux
utilisateurs ou groupes d'utilisateurs.
Types d'activation : terminaux BlackBerry 10
Type d'activation
Description
Ce type d'activation fournit un contrôle des données professionnelles sur les
terminaux, tout en veillant à assurer la confidentialité des données personnelles.
Lorsqu'un terminal est activé, un espace Travail séparé est créé sur le terminal et
l'utilisateur doit définir un mot de passe pour accéder à l'espace Travail. Les
données professionnelles sont protégées à l'aide du cryptage et de
l'authentification par mot de passe. Toutes les données professionnelles des
précédentes activations sont supprimées.
Vous pouvez contrôler l'espace Travail sur le terminal à l'aide de commandes et de
stratégies informatiques, mais vous ne pouvez contrôler aucun aspect de l'espace
Personnel sur le terminal.
Ce type d'activation offre un contrôle complet du terminal et ne fournit pas un
espace séparé pour les données personnelles. Lorsqu'un terminal est activé,
l'espace Personnel et toutes les données professionnelles des précédentes
activations sont supprimées. Un espace Travail est installé et l'utilisateur doit créer
un mot de passe pour accéder au terminal. Les données professionnelles sont
protégées à l'aide du cryptage et de l'authentification par mot de passe.
Vous pouvez contrôler le terminal à l'aide de commandes et de stratégies
informatiques.
Remarque:
Pour les terminaux dotés du type d'activation « Espace Travail uniquement », vous
devez créer et attribuer un profil VPN pour permettre l'accès à l'Internet via le
réseau de votre entreprise. Sans une connexion VPN au réseau de votre entreprise,
les terminaux dotés du type d'activation « Espace Travail uniquement » peuvent
uniquement accéder à Internet via un réseau Wi-Fi professionnel.
Pour plus d'informations, reportez-vous à Configuration de réseaux VPN
professionnels pour les terminaux.
Ce type d'activation permet de contrôler à la fois les données professionnelles et
personnelles. Lorsqu'un terminal est activé, un espace Travail séparé est créé sur le
terminal et l'utilisateur doit définir un mot de passe pour accéder à l'espace Travail.
Les données professionnelles sont protégées à l'aide du cryptage et de
243
Type d'activation
Description
l'authentification par mot de passe. Toutes les données professionnelles des
précédentes activations sont supprimées.
Vous pouvez contrôler à la fois l'espace Travail et l'espace Personnel sur le terminal
à l'aide de commandes et de stratégies informatiques.
Types d'activation : terminaux iOS
Type d'activation
Description
Contrôles MDM
Ce type d'activation fournit une gestion de base des terminaux à l'aide des
commandes de terminaux mises à disposition par iOS. Il n'existe pas d'espace
Travail séparé installé sur le terminal, et aucune sécurité ajoutée pour les données
professionnelles.
informatiques. Lors de l'activation, les utilisateurs disposant d'un terminal doivent
installer un profil de gestion des terminaux mobiles.
Cette activation offre un contrôle complet des terminaux grâce à Secure Work
Space. Lorsqu'un terminal est activé, un espace Travail séparé est créé sur le
terminal et l'utilisateur doit définir un mot de passe pour accéder à l'espace Travail.
Les données professionnelles sont protégées à l'aide du cryptage et de
l'authentification par mot de passe.
Vous pouvez contrôler l'espace Travail et certains autres aspects du terminal qui
affectent à la fois l'espace Personnel et l'espace Travail à l'aide de commandes et
de stratégies informatiques. Lors de l'activation, les utilisateurs doivent installer un
profil de gestion des terminaux mobiles.
l'utilisateur
Ce type d'activation utilise Secure Work Space pour fournir un contrôle des
données professionnelles sur les terminaux, tout en veillant à assurer la
confidentialité des données personnelles. Lorsqu'un terminal est activé, un espace
Travail séparé est créé sur le terminal et l'utilisateur doit définir un mot de passe
pour accéder à l'espace Travail. Les données professionnelles sont protégées à
l'aide du cryptage et de l'authentification par mot de passe.
Vous pouvez contrôler l'espace Travail sur le terminal à l'aide de commandes et de
stratégies informatiques, mais vous ne pouvez contrôler aucun aspect de l'espace
Personnel sur le terminal. Les utilisateurs ne sont pas tenus d'installer un profil de
gestion des terminaux mobiles.
Remarque: Pour le modèle de licence SIM, vous devez sélectionner l'option
« Autoriser l'accès à la carte SIM et aux informations matérielles du terminal pour
244
Type d'activation
Description
activer le modèle de licence SIM » dans le profil d'activation. Les utilisateurs
doivent installer un profil MDM qui peut uniquement accéder à la carte SIM et aux
informations matérielles du terminal qui sont requises pour déterminer si une
licence SIM appropriée est disponible (par exemple, ICCID et IMEI).
Types d'activation : terminaux OS X
Type d'activation
Description
Contrôles MDM
commandes de terminaux mises à disposition par OS X.
Lorsqu'un utilisateur active un terminal OS X, le terminal et l'utilisateur sont
configurés en tant qu'entités distinctes sur BES12. Des canaux de
communication séparés sont établis entre BES12 et le terminal et BES12 et le
compte d'utilisateur, ce qui vous permet de gérer l'appareil et l'utilisateur
séparément. Certains profils sont affectées à l'utilisateur uniquement, par
exemple les profils de messagerie. Certains profils sont affectées au terminal
uniquement, par exemple les profils de proxy. Certains profils vous permettent
de choisir d'appliquer le profil au terminal ou à l'utilisateur, par exemple les
profils Wi-Fi. Pour plus d'informations, reportez-vous à Paramètres de profil .
informatiques. Les utilisateurs activent les terminaux OS X à l'aide de BES12
Self-Service.
Types d'activation : terminaux Android
Pour les terminaux Android, vous pouvez sélectionner plusieurs types d'activation et les classer pour vous assurer que BES12
attribue le type d'activation le plus approprié à ces terminaux. Par exemple, si vous classez « Espace Travail uniquement
(Samsung KNOX) » en premier et « Contrôles MDM » en deuxième, les terminaux prenant en charge Samsung KNOX
Workspace reçoivent le premier type d'activation.
Remarque: KNOX MDM permet au terminal d'utiliser les règles de stratégie informatique KNOX MDM dans BES12 plutôt que
les règles de base disponibles pour tous les terminaux Android. KNOX Workspace crée un espace Travail séparé sur le terminal
afin de séparer les données et les applications professionnelles des données et des applications personnelles.
Les types d'activation Android sont organisés dans les tableaux suivants :
•
terminaux Android
•
terminaux Android for Work
•
245
terminaux Android
Les types d'activation suivants s'appliquent à tous les terminaux Android, y compris PRIV.
Type d'activation
Description
Contrôles MDM
Ce type d'activation vous permet de gérer le terminal à l'aide de commandes et de
règles de stratégie informatique. Si le terminal prend en charge KNOX MDM, ce
type d'activation s'applique aux règles de stratégie informatique KNOX MDM. Un
espace Travail distinct n'est pas créé sur le terminal, et il n'existe aucune sécurité
ajoutée pour les données professionnelles.
Afin d'appliquer automatiquement un profil de messagerie à un terminal Android
activé avec Contrôles MDM, l'application TouchDown doit être installée sur le
terminal.
Lors de l'activation, les utilisateurs doivent octroyer les autorisations
d'administrateur à BES12 Client.
(Secure Work Space)
Ce type d'activation utilise Secure Work Space pour vous permettre de gérer le
terminal dans son ensemble à l'aide de commandes et de règles de stratégie
informatique. Si le terminal prend en charge KNOX MDM, il applique les règles de
stratégie informatique KNOX MDM. Ce type d'activation crée un espace Travail
séparé sur le terminal et l'utilisateur doit créer un mot de passe pour accéder à cet
espace Travail. Les données de l'espace Travail sont protégées à l'aide du cryptage
et de l'authentification par mot de passe.
Ce type d'activation utilise Secure Work Space pour préserver la confidentialité des
données personnelles, mais vous permet de gérer les données professionnelles à
l'aide de commandes et de règles de stratégie informatique. Ce type d'activation ne
prend pas en charge les règles de stratégie informatique KNOX MDM. Ce type
d'activation crée un espace Travail séparé sur le terminal et l'utilisateur doit créer
un mot de passe pour accéder à cet espace Travail. Les données de l'espace Travail
sont protégées à l'aide du cryptage et de l'authentification par mot de passe.
Les utilisateurs ne sont pas tenus d'octroyer des autorisations d'administrateur à
BES12 Client.
terminaux Android for Work
Les types d'activation suivants s'appliquent uniquement aux terminaux Android prenant en charge Android for Work, y compris
PRIV.
246
Type d'activation
Description
l'utilisateur (Android for Work)
Ce type d'activation préserve la confidentialité des données personnelles, mais
vous permet de gérer les données professionnelles à l'aide de commandes et de
règles de stratégie informatique. Ce type d'activation crée un profil professionnel
sur le terminal qui sépare les données professionnelles des données personnelles.
Les données professionnelles et personnelles sont protégées à l'aide du cryptage et
de l'authentification par mot de passe.
Ce type d'activation ne prend pas en chargeBlackBerry Secure Connect Plus.
BES12 Client.
l'utilisateur (Android for Work Premium)
règles de stratégie informatique. Ce type d'activation crée un profil professionnel
sur le terminal qui sépare les données professionnelles des données personnelles.
Les données professionnelles et personnelles sont protégées à l'aide du cryptage et
de l'authentification par mot de passe.
BES12 Client.
Vous devez utiliser ce type d'activation si vous souhaitez prendre en charge
BlackBerry Secure Connect Plus avec les caractéristiques du type d'activation
Travail et Personnel - Confidentialité de l'utilisateur (Android for Work).
Work)
Si vous attribuez ce type d'activation à un utilisateur, vous devez également
attribuer le modèle d'e-mail d'activation Espace Travail uniquement (Android for
Work) à cet utilisateur. L'attribution de ce modèle permet de s'assurer que
l'utilisateur reçoit le code d'activation Google nécessaire pendant le processus
d'activation.
Ce type d'activation vous permet de gérer le terminal dans son ensemble à l'aide de
commandes et de règles de stratégie informatique. Ce type d'activation requiert
que l'utilisateur restaure les réglages d'usine du terminal avant de procéder à
l'activation. Le processus d'activation installe un profil de travail et aucun profil
personnel. L'utilisateur doit créer un mot de passe pour accéder au terminal.
Toutes les données du terminal sont protégées à l'aide du cryptage et d'une
méthode d'authentification de type mot de passe.
Ce type d'activation ne prend pas en chargeBlackBerry Secure Connect Plus.
Lors de l'activation, le terminal installe automatiquement BES12 Client et lui
accorde des autorisations d'administrateur. Les utilisateurs ne peuvent pas
révoquer les autorisations d'administrateur ni désinstaller l'application.
247
Type d'activation
Description
Work - Premium)
Si vous attribuez ce type d'activation à un utilisateur, vous devez également
attribuer le modèle d'e-mail d'activation Espace Travail uniquement (Android for
Work) à cet utilisateur. L'attribution de ce modèle permet de s'assurer que
l'utilisateur reçoit le code d'activation Google nécessaire pendant le processus
d'activation.
commandes et de règles de stratégie informatique. Ce type d'activation requiert
que l'utilisateur restaure les réglages d'usine du terminal avant de procéder à
l'activation. Le processus d'activation installe un profil de travail et aucun profil
personnel. L'utilisateur doit créer un mot de passe pour accéder au terminal.
Toutes les données du terminal sont protégées à l'aide du cryptage et d'une
méthode d'authentification de type mot de passe.
Lors de l'activation, le terminal installe automatiquement BES12 Client et lui
accorde des autorisations d'administrateur. Les utilisateurs ne peuvent pas
révoquer les autorisations d'administrateur ni désinstaller l'application.
Vous devez utiliser ce type d'activation si vous souhaitez prendre en charge
BlackBerry Secure Connect Plus avec les caractéristiques du type d'activation
Espace Travail uniquement (Android for Work).
terminaux Samsung KNOX Workspace
Les types d'activation suivants s'appliquent uniquement aux terminaux Samsung prenant en charge KNOX Workspace.
Type d'activation
Description
(Samsung KNOX)
commandes, de KNOX MDM et de règles de stratégie informatique KNOX
Workspace. Ce type d'activation crée un espace Travail séparé sur le terminal et
l'utilisateur doit créer un mot de passe pour accéder à cet espace Travail. Les
données de l'espace Travail sont protégées à l'aide du cryptage et d'une méthode
d'authentification de type mot de passe, PIN, schéma ou empreinte digitale.
l'utilisateur - (Samsung KNOX)
règles de stratégie informatique. Ce type d'activation ne prend pas en charge les
règles de stratégie informatique KNOX MDM. Ce type d'activation crée un espace
Travail séparé sur le terminal et l'utilisateur doit créer un mot de passe pour
accéder à cet espace Travail. Les données de l'espace Travail sont protégées à
l'aide du cryptage et d'une méthode d'authentification de type mot de passe, PIN,
248
Type d'activation
Description
schéma ou empreinte digitale. L'utilisateur doit également créer un mot de passe
de verrouillage de l'écran pour protéger l'ensemble du terminal et ne sera pas en
mesure d'utiliser le mode de débogage USB.
Espace Travail uniquement - (Samsung
KNOX)
commandes, de KNOX MDM et de règles de stratégie informatique KNOX
Workspace. Ce type d'activation supprime l'espace Personnel et installe un espace
Travail. L'utilisateur doit créer un mot de passe pour accéder au terminal. Toutes les
données du terminal sont protégées à l'aide du cryptage et d'une méthode
d'authentification de type mot de passe, PIN, schéma ou empreinte digitale.
Types d'activation : terminaux Windows
Type d'activation
Description
Contrôles MDM
commandes de terminaux mises à disposition parWindows 10, Windows 10
Mobile, et Windows Phone. Il n'existe pas d'espace Travail séparé installé sur le
terminal, et aucune sécurité ajoutée pour les données professionnelles.
informatiques. Les utilisateurs de Windows Phone doivent installer BES12 Client
pour activer un terminal. Les utilisateurs Windows 10 et Windows 10 Mobile
activent des terminaux grâce à l'application d'accès de travail Windows 10.
Créer un profil d'activation
1.
2.
Cliquez sur
3.
4.
Dans le champ Nombre de terminaux qu'un utilisateur peut activer, spécifiez le nombre maximum de terminaux que
l'utilisateur peut activer.
5.
Dans la liste déroulante Propriété du terminal, effectuez l'une des actions suivantes :
en regard d'Activation.
249
•
Si certains utilisateurs activent des terminaux personnels et d'autres des terminaux professionnels, sélectionnez
Non spécifié.
•
Si les utilisateurs activent généralement des terminaux professionnels, sélectionnez Professionnel.
•
Si les utilisateurs activent généralement des terminaux personnels, sélectionnez Personnel.
6.
Vous pouvez également sélectionner un avis d'entreprise de la liste déroulante Attribuer un avis d'entreprise. Si vous
affectez un avis d'entreprise, les utilisateurs activant des terminaux BlackBerry 10, Windows 10, iOS ou OS X doivent
accepter l'avis pour terminer le processus d'activation.
7.
Dans la section Types de terminaux que les utilisateurs peuvent activer, sélectionnez les types de terminaux, selon les
besoins. Les types de terminaux que vous ne sélectionnez pas ne sont pas inclus dans le profil d'activation et les
utilisateurs ne peuvent pas activer ces terminaux.
8.
Procédez comme suit pour chaque type de terminal inclus dans le profil d'activation :
9.
•
Cliquez sur l'onglet correspondant au type de terminal.
•
Dans l'onglet Windows, vous pouvez sélectionner l'une des options de facteur de forme ou les deux, et choisir
d'autoriser ou d'interdire ces facteurs de forme dans la liste déroulante Restrictions relatives au modèle de
terminal.
•
Dans la liste déroulante Limites de modèles de terminaux, sélectionnez si vous souhaitez autoriser ou
restreindre les terminaux spécifiés ou n'appliquer aucune restriction. Cliquez sur Modifier pour sélectionner les
terminaux que vous souhaitez restreindre ou autoriser, puis cliquez sur Enregistrer.
•
Dans la liste déroulante Version autorisée, sélectionnez la version minimale autorisée.
•
Dans la section Type d'activation, sélectionnez un type d'activation.
◦
Pour les terminaux Android, vous pouvez sélectionner plusieurs types d'activation et les classer selon
les besoins de votre entreprise.
◦
Pour les terminaux iOS, si vous sélectionnez le type d'activation Travail et Personnel - Confidentialité
de l'utilisateur ou Confidentialité de l'utilisateur et que vous voulez activer le modèle de licence SIM,
vous devez sélectionner l'option Autoriser l'accès à la carte SIM et aux informations matérielles du
terminal pour activer le modèle de licence SIM.
250
Définir un mot de passe d'activation et envoyer
un e-mail d'activation
Vous pouvez définir un mot de passe d'activation et envoyer à l'utilisateur un e-mail d'activation avec les informations
nécessaires à l'activation d'un ou de plusieurs terminaux.
Avant de commencer: Créer un modèle d'e-mail d'activation.
1.
2.
3.
4.
Dans le volet Détails de l'activation, cliquez sur Définir le mot de passe d'activation.
5.
Dans la fenêtre Définir le mot de passe d'activation du terminal, exécutez l'une des tâches suivantes :
Tâche
Étapes
Générer automatiquement un mot de
passe d'activation pour l'utilisateur et
1.
Sélectionnez l'option Générer automatiquement le mot de passe
d'activation du terminal et envoyer un e-mail contenant des instructions
d'activation.
2.
3.
Dans la liste déroulante Modèle d'e-mail d'activation, cliquez sur un
modèle à utiliser pour l'e-mail d'activation.
1.
Sélectionnez l'option Définir le mot de passe d'activation du terminal.
2.
Saisissez un mot de passe d'activation.
3.
4.
Définir un mot de passe d'activation
pour l'utilisateur et, éventuellement,
a
Pour envoyer des instructions d'activation à l'utilisateur, dans la liste
déroulante Modèle d'e-mail d'activation, cliquez sur un modèle à
utiliser pour l'e-mail d'activation.
b
Si vous ne souhaitez pas envoyer les instructions d'activation à
l'utilisateur, décochez la case à cocher Envoyer un e-mail contenant
251
Tâche
Étapes
le mot de passe d'activation et les instructions. Vous devez
communiquer le mot de passe d'activation à l'utilisateur.
6.
Envoyer un e-mail d'activation à plusieurs
utilisateurs
Vous pouvez envoyer des e-mails d'activation à plusieurs utilisateurs à la fois. Lorsque vous envoyez un e-mail d'activation à
plusieurs utilisateurs, le mot de passe d'activation est généré automatiquement. Si vous souhaitez définir vous-même le mot de
passe d'activation, reportez-vous à Définir un mot de passe d'activation et envoyer un e-mail d'activation.
Avant de commencer: Créer un modèle d'e-mail d'activation.
1.
2.
Cochez la case pour chaque utilisateur auquel vous souhaitez envoyer un e-mail d'activation.
3.
Cliquez sur
4.
Sélectionnez l'une des options suivantes :
.
Option
Description
Générer le mot de
passe d'activation
d'un terminal
1.
Sélectionnez l'option Générer automatiquement le mot de passe d'activation du terminal
et envoyer un e-mail contenant des instructions d'activation.
2.
Dans le champ Expiration de la période d'activation, spécifiez le nombre de minutes,
d'heures ou de jours pendant lesquels l'utilisateur est autorisé à activer un terminal avant
que son mot de passe d'activation expire.
3.
Dans la liste déroulante Modèle d'e-mail d'activation, cliquez sur un modèle à utiliser pour
l'e-mail d'activation.
1.
Sélectionnez l'option Générer automatiquement la clé d'accès Good Dynamics et envoyer
un e-mail d'instructions.
2.
Dans la liste déroulante Nombre de clés d'accès à générer, sélectionnez le nombre de clés
d'accès que vous souhaitez créer pour l'utilisateur.
Générer une clé
d'accès Good
Dynamics
5.
252
Autoriser les utilisateurs à définir des mots de
passe d'activation BES12 Self-Service
Vous pouvez autoriser les utilisateurs de terminaux BlackBerry 10, iOS, Android et Windows à créer leurs propres mots de passe
d'activation à l'aide de BES12 Self-Service.
Remarque: Les utilisateurs de terminaux exécutant BlackBerry OS (version 5.0 à 7.1) peuvent créer des mots de passe
d'activation à l'aide de BlackBerry Web Desktop Manager.
1.
Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux > Self-Service.
2.
Vérifiez que l'option Autoriser les utilisateurs à accéder à la console en libre-service est sélectionnée.
3.
Sélectionnez Autoriser les utilisateurs à activer des terminaux dans la console en libre-service et procédez comme suit :
4.
a.
Spécifiez le nombre de minutes, d'heures ou de jours pendant lesquels l'utilisateur est autorisé à activer un terminal
avant que son mot de passe d'activation expire.
b.
Spécifiez le nombre minimum de caractères requis dans le mot de passe d'activation.
c.
Dans la liste déroulante Complexité minimale des mots de passe, sélectionnez le niveau de complexité requis pour
les mots de passe d'activation.
À propos de BES12 Self-Service, à la page 21
Activer un terminal BlackBerry 10
Envoyez les instructions d'activation suivantes à l'utilisateur du terminal.
1.
Sur le terminal, accédez à Paramètres.
2.
Sélectionnez Comptes.
3.
Si vous disposez déjà de comptes sur ce terminal, sélectionnez Ajouter un compte. Sinon, passez à l'étape 4.
4.
Sélectionnez Messagerie, Calendrier et Contacts.
5.
Saisissez votre adresse électronique professionnelle et sélectionnez Suivant.
6.
Dans le champ Mot de passe, saisissez le mot de passe d'activation que vous avez reçu. Sélectionnez Suivant.
7.
Si vous recevez un avertissement vous indiquant que votre terminal n'a pas pu rechercher les informations de connexion,
procédez comme suit :
a.
Sélectionnez Avancé.
253
8.
b.
Sélectionnez Compte professionnel.
c.
Dans le champ Adresse du serveur, saisissez l'adresse du serveur. Vous trouverez l'adresse du serveur dans l'e-mail
d'activation que vous avez reçu ou dans BES12 Self-Service.
d.
Sélectionnez Terminé.
Suivez les instructions à l'écran pour procéder à l'activation.
À la fin: Pour vérifier que le processus d'activation a réussi, effectuez l'une des opérations suivantes.
•
Sur le terminal, accédez à BlackBerry Hub et vérifiez que l'adresse électronique est présente. Accédez au Calendrier
et vérifiez que les rendez-vous sont présents.
•
Dans BES12 Self-Service, vérifiez que votre terminal est répertorié en tant que terminal activé. Après l'activation du
terminal, la mise à jour de l'état peut prendre jusqu'à deux minutes.
Activer un terminal iOS
Remarque: Ces étapes s'appliquent à un terminal doté du type d'activation Contrôles MDM. Les types d'activation qui installent
ou activent un espace Travail sur le terminal peuvent nécessiter des étapes supplémentaires.
1.
Sur le terminal, installez l'application Good for BES12. Vous pouvez télécharger l'application Good for BES12 sur l'App
Store.
2.
Sur le terminal, sélectionnez BES12.
3.
Lisez l'accord de licence et sélectionnez J'accepte.
4.
Saisissez votre adresse électronique professionnelle et sélectionnez Atteindre.
5.
Si nécessaire, saisissez l'adresse du serveur, puis sélectionnez Atteindre. Vous trouverez l'adresse du serveur dans l'email d'activation que vous avez reçu ou dans BES12 Self-Service.
6.
Vérifiez que les détails du certificat affichés sur le terminal sont exacts et sélectionnez Accepter. Si votre administrateur
vous a envoyé les détails du certificat séparément, vous pouvez comparer les informations affichées avec celles que vous
avez reçues.
7.
Saisissez votre mot de passe d'activation et sélectionnez Activer mon terminal.
8.
Sélectionnez OK pour installer le certificat requis.
9.
Suivez les instructions à l'écran pour procéder à l'installation.
10. Si vous êtes invité à saisir le mot de passe de votre compte de messagerie ou le mot de passe de votre terminal, suivez les
instructions à l'écran.
À la fin: pour vérifier que le processus d'activation a réussi, effectuez l'une des opérations suivantes.
254
•
Sur le terminal, ouvrez l'application Good for BES12 et sélectionnez À propos de. Dans les sections Terminal activé et
État de conformité, vérifiez que les informations concernant le terminal et l'horodatage d'activation sont présentes.
•
Activer un terminal OS X
Avant de commencer: Vous devez disposer des informations de connexion BES12 Self-Service suivantes :
•
Adresse Web de BES12 Self-Service
•
Nom d'utilisateur et mot de passe
•
Nom de domaine
1.
Sur le terminal à activer, connectez-vous à BES12 Self-Service à l'aide des informations de connexion que vous avez
reçues de votre administrateur.
2.
Si des terminaux sont déjà indiqués, cliquez sur Activer un terminal.
3.
Dans le menu déroulant Terminal, cliquez sur OS X.
4.
Regardez le didacticiel d'activation.
5.
6.
Suivez les instructions pour installer les profils requis et terminer l'activation du terminal. Une fois l'activation terminée,
votre terminal s'affiche dans BES12 Self-Service.
Activer un terminal Android
Remarque: ces étapes s'appliquent à un terminal auquel a été attribué le type d'activation Contrôles MDM. Les types
d'activation qui installent ou activent un espace Travail sur le terminal peuvent nécessiter des étapes supplémentaires.
1.
Sur le terminal, installez BES12 Client. Vous pouvez télécharger BES12 Client depuis l'Google Play.
2.
Sur le terminal, sélectionnez BES12.
3.
4.
5.
Si nécessaire, saisissez l'adresse du serveur, puis sélectionnez Suivant. Vous trouverez l'adresse du serveur dans l'e-mail
255
6.
Vérifiez que les détails du certificat affichés sur le terminal sont exacts et sélectionnez Accepter. Si votre administrateur
vous a envoyé les détails du certificat séparément, vous pouvez comparer les informations affichées avec celles que vous
avez reçues.
7.
Saisissez votre mot de passe d'activation et sélectionnez Activer mon terminal.
8.
Sélectionnez Suivant.
9.
Sélectionnez Activer.
•
Sur le terminal, ouvrez BES12 Client et sélectionnez À propos de. Dans la section Terminal activé, assurez-vous de la
présence des informations du terminal et de l'heure et de la date d'activation.
•
Activer un terminal Windows Phone
1.
Sur le terminal, installez BES12 Client. Vous pouvez télécharger BES12 Client depuis Windows Phone Store.
2.
Sur le terminal, accédez à la liste des applications et sélectionnez BES12.
3.
4.
5.
Si nécessaire, saisissez l'adresse du serveur, puis sélectionnez Suivant. Vous trouverez l'adresse du serveur dans l'e-mail
6.
Saisissez le mot de passe d'activation que vous avez reçu dans l'e-mail d'activation ou que vous avez défini dans BES12
Self-Service et sélectionnez Activer mon terminal.
7.
Sélectionnez Copier et continuer pour copier l'adresse du serveur et accéder à l'application Windows Phone Workplace.
8.
Sélectionnez Ajouter un compte.
9.
Saisissez votre adresse électronique et sélectionnez Connexion.
10. Positionnez votre curseur dans le champ Serveur et sélectionnez l'icône Coller.
11. Sélectionnez Connexion.
12. Si vous recevez un avertissement au sujet d'un certificat, sélectionnez Continuer.
13. Ne saisissez rien dans les champs Nom d'utilisateur et Domaine. Dans le champ Mot de passe, saisissez le mot de passe
d'activation que vous avez reçu dans l'e-mail d'activation ou que vous avez défini dans BES12 Self-Service. Sélectionnez
Connexion.
14. Sélectionnez Terminé.
256
15. Sélectionnez le bouton Retour de votre Windows Phone pour revenir à BES12 Client.
16. L'activation est automatique.
•
Sur le terminal, ouvrez BES12 Client, sélectionnez l'icône Menu en bas à droite (trois points horizontaux) et
sélectionnez À propos de. Dans la section Terminal activé, assurez-vous de la présence des informations du terminal
et de l'heure et de la date d'activation.
•
Activer un terminal Windows 10 Mobile
Vous pouvez regarder une vidéo du processus d'activation de Windows 10 ici.
1.
Pour activer votre terminal Windows 10 Mobile sur BES12, vous devez installer un certificat sur votre terminal. Vous
trouverez un lien vers le certificat dans l'e-mail d'activation que vous avez reçu. Si vous n'avez pas reçu de lien vers le
certificat, contactez votre administrateur pour obtenir de l'aide. À l'aide de l'application Microsoft Outlook ou de votre
service de courrier électronique en ligne dans le navigateur, ouvrez votre boite de réception.
2.
Dans votre boite de réception, sélectionnez le message d'activation que vous avez reçu de votre administrateur.
3.
Sélectionnez le lien de l'adresse du serveur de certificats.
4.
Sélectionnez le certificat.
5.
Sélectionnez Installer.
6.
Sélectionnez OK.
7.
Sélectionnez le bouton Windows pour retourner au menu de démarrage.
8.
Faites glisser l'écran vers la gauche pour ouvrir le menu Applications.
9.
Dans le menu Applications, sélectionnez Paramètres.
10. Sélectionnez Comptes.
11. Sélectionnez Accès professionnel.
12. Sélectionnez Se connecter.
13. Dans le champ Adresse e-mail, saisissez votre adresse électronique professionnelle et sélectionnez Entrée.
14. Si vous êtes invité à préciser l'adresse de votre serveur, dans le champ Serveur, entrez l'adresse de votre serveur ou l'URL
d'activation et sélectionnez le bouton flèche. Vous trouverez cette adresse ou l'URL d'activation dans l'e-mail d'activation
que vous avez reçu de votre administrateur ou dans BES12 Self-Service lors de la définition de votre mot de passe
d'activation.
257
15. Dans le champ Mot de passe d'activation, saisissez votre mot de passe d'activation, puis sélectionnez Continuer. Vous
trouverez votre mot de passe d'activation dans l'e-mail d'activation que vous avez reçu de votre administrateur ou vous
pouvez définir votre propre mot de passe d'activation dans BES12 Self-Service.
17. Le processus d'activation est terminé.
•
Sur le terminal, ouvrez l'application Accès professionnel et vérifiez que votre compte est répertorié. Sélectionnez votre
compte, puis Informations. Vérifier les informations sur l'état de la synchronisation pour vous assurer que votre
terminal est connecté à BES12.
•
Activer un terminal Windows 10
Remarque: Si vous souhaitez gérer des terminaux Windows 10 à l'aide de MDM, les terminaux ne peuvent pas être gérés par
Microsoft System Center Configuration Manager.
Vous pouvez regarder une vidéo du processus d'activation de Windows 10 ici.
1.
Pour activer votre tablette ou ordinateur Windows 10 sur BES12, vous devez installer un certificat. Vous trouverez un lien
vers le certificat dans l'e-mail d'activation que vous avez reçu. Si vous n'avez pas reçu de lien vers le certificat, contactez
votre administrateur pour obtenir de l'aide. À l'aide de l'application Microsoft Outlook ou de votre service de courrier
électronique en ligne dans le navigateur, ouvrez votre boite de réception.
2.
Dans votre boite de réception, sélectionnez le message d'activation que vous avez reçu de votre administrateur.
3.
Sélectionnez le lien de l'adresse du serveur de certificats.
4.
Dans la notification de téléchargement du certificat, sélectionnez Ouvrir.
5.
Sélectionnez Installer le certificat.
6.
Sélectionnez l'option Utilisateur actuel. Sélectionnez Suivant.
7.
Sélectionnez l'option Placer tous les certificats dans le magasin suivant. Sélectionnez Parcourir.
8.
Sélectionnez Autorités de certification racine approuvées. Sélectionnez OK.
9.
Sélectionnez Suivant.
10. Sélectionnez Terminer.
11. Sélectionnez Oui.
12. Sélectionnez OK.
258
13. Sélectionnez le bouton Démarrer.
14. Sélectionnez Paramètres.
15. Sélectionnez Comptes.
16. Sélectionnez Accès professionnel.
17. Sélectionnez Se connecter.
18. Dans le champ Adresse électronique, saisissez votre adresse électronique. Sélectionnez Continuer.
19. Si vous êtes invité à préciser l'adresse de votre serveur, dans le champ Serveur, entrez l'adresse de votre serveur ou l'URL
d'activation et sélectionnez Continuer. Vous trouverez cette adresse ou l'URL d'activation dans l'e-mail d'activation que
vous avez reçu de votre administrateur ou dans BES12 Self-Service lors de la définition de votre mot de passe d'activation.
20. Dans le champ Mot de passe d'activation, saisissez votre mot de passe d'activation, puis sélectionnez Continuer. Vous
trouverez votre mot de passe d'activation dans l'e-mail d'activation que vous avez reçu de votre administrateur ou vous
pouvez définir votre propre mot de passe d'activation dans BES12 Self-Service.
22. Le processus d'activation est terminé.
•
Sur le terminal, ouvrez l'application Accès professionnel et vérifiez que votre compte est répertorié. Sélectionnez votre
compte, puis Informations. Vérifier les informations sur l'état de la synchronisation pour vous assurer que votre
terminal est connecté à BES12.
•
Activation de plusieurs terminaux à l'aide de
KNOX Mobile Enrollment
Samsung KNOX Mobile Enrollment permet d'activer un grand nombre de terminaux dans BES12 en une seule fois. Pour plus
d'informations, rendez-vous sur https://www.samsungknox.com/en/products/knox-mobile-enrollment.
Avant de commencer: Vous devez acheter des terminaux auprès de l'un des revendeurs suivants :
•
Un revendeur agréé
•
Un revendeur qui accepte de partager les IMEI des terminaux directement avec Samsung
1.
Dans la barre de menus, cliquez sur Paramètres > Intégration externe.
2.
Cliquez sur KNOX Mobile Enrollment.
3.
Suivez les instructions qui s'affichent à l'écran.
259
Conseils pour résoudre les problèmes relatifs à
l'activation des terminaux
Lorsque vous résolvez des problèmes liés à l'activation d'un type de terminal, vérifiez systématiquement ce qui suit :
•
Vérifiez que BES12 prend en charge ce type de terminal. Pour plus d'informations sur les types de terminaux pris en
charge, reportez-vous à la matrice de compatibilité.
•
Assurez-vous de la disponibilité de licences pour le type de terminal que l'utilisateur active et vérifiez le type
d'activation attribué à l'utilisateur. Pour plus d'informations,consultez le contenu relatif aux licences.
•
Vérifiez la connectivité réseau sur le terminal.
◦
Vérifiez que le réseau mobile ou Wi-Fi est actif et dispose d'une couverture suffisante.
◦
Si l'utilisateur doit configurer manuellement un profil VPN ou Wi-Fi professionnel pour accéder au contenu
situé derrière le pare-feu de votre entreprise, assurez-vous que les profils de l'utilisateur sont correctement
configurés sur le terminal.
◦
Si vous utilisez un Wi-Fi professionnel, assurez-vous que chemin réseau du terminal est disponible. Pour
plus d'informations sur la configuration des pare-feu réseau avec BES12, rendez-vous sur http://
support.blackberry.com/kb pour consulter l'article 36470.
•
Assurez-vous que le profil d'activation attribué à l'utilisateur prend en charge le type de terminal en cours
d'activation.
•
Collectez les journaux du terminal :
◦
Pour plus d'informations sur la récupération des fichiers journaux des terminaux BlackBerry 10, rendezvous sur http://support.blackberry.com/kb pour lire l'article 26038.
Remarque: les fichiers journaux BlackBerry 10 sont cryptés. Pour utiliser les fichiers journaux BlackBerry 10
à des fins de résolution des problèmes, vous devez disposer d'un ticket ouvert avec BlackBerry Technical
Support Services. Seuls les agents de l'assistance peuvent décrypter les fichiers journaux.
◦
Pour plus d'informations sur la récupération des fichiers journaux des terminaux iOS, rendez-vous sur http://
support.blackberry.com/kb pour lire l'article 36986.
◦
Pour plus d'informations sur la récupération des fichiers journaux des terminaux Android, rendez-vous sur
http://support.blackberry.com/kb pour lire l'article 32516.
◦
Pour plus d'informations sur la récupération des journaux des terminaux Windows Phone, rendez-vous sur
http://support.blackberry.com/kb pour lire l'article 36984.
260
KNOX Workspace et Android for Work
Lorsque vous résolvez des problèmes liés à l'activation des terminaux Samsung utilisant Samsung KNOX Workspace, vérifiez ce
qui suit :
•
Vérifiez que le terminal prend en charge KNOX Workspace. Pour plus d'informations, rendez-vous sur https://
www.samsungknox.com/en/products/knox-supported-devices/knox-workspace pour lire Terminaux pris en charge
Samsung KNOX.
•
Assurez-vous que le bit de garantie n'a pas été déclenché. Pour plus d'informations, rendez-vous sur https://
www.samsungknox.com/en/faq/what-knox-warranty-bit-and-how-it-triggered pour lire Qu'est-ce qu'un bit de garantie
KNOX et comment est-il déclenché ?
•
Assurez-vous que la version du conteneur KNOX est prise en charge. KNOX Workspace requiert KNOX Container 2.0
ou version ultérieure. Pour plus d'informations sur les versions de Samsung KNOX prises en charge, rendez-vous sur
https://www.samsungknox.com/knoxportal/files/GalaxyDevicesSupportingKNOX.pdf.
Lorsque vous résolvez des problèmes liés à l'activation des terminaux Android for Work, vérifiez ce qui suit :
•
Vérifiez que le terminal prend en charge Android for Work. Pour plus d'informations, rendez-vous sur https://
support.google.com/work/android/answer/6174145 pour lire l'article 6174145.
•
Assurez-vous de la disponibilité d'une licence et vérifiez que le type d'activation est défini sur Travail et Personnel Confidentialité de l'utilisateur (Android for Work).
•
Pour utiliser le type d'activation Travail et Personnel - Confidentialité de l'utilisateur (Android for Work), les terminaux
doivent exécuter Android OS version 5.1 ou version ultérieure.
•
Assurez-vous que le compte d'utilisateur de BES12 dispose de la même adresse électronique que celle du domaine
Google. Si ces adresses électroniques ne correspondent pas, le terminal affichera l'erreur suivante : Impossible
d'activer le terminal - Type d'activation non pris en charge. Dans le fichier journal Core, recherchez ce qui suit :
◦
◦
ERROR AfW: Could not find user in Google domain. Aborting user creation
and activation.
ERROR job marked for quarantine due to: Unable to activate device Unsupported activation type
Impossible de terminer l'activation du terminal en l'absence de
licences suffisantes sur le serveur. Pour obtenir de l'aide,
contactez votre administrateur.
Description
Cette erreur s'affiche lors de l'activation du terminal si les licences ne sont pas disponibles ou si elles ont expiré.
261
Solution possible
Dans BES12, procédez comme suit :
•
Vérifier que des licences sont disponibles à des fins d'activation.
•
Si nécessaire, activez les licences ou achetez des licences supplémentaires.
Pour plus d'informations, reportez-vous au contenu relatif à la gestion des licences.
Vérifiez votre nom d'utilisateur et votre mot de passe, puis
réessayez
Description
Cette erreur s'affiche lors de l'activation d'un terminal si l'utilisateur a saisi un nom d'utilisateur ou un mot de passe erroné,
voire les deux.
Solution possible
Saisissez le nom d'utilisateur et le mot de passe qui conviennent.
Impossible d'installer le profil. Le certificat AutoMDMCert.pfx
n'a pas pu être importé.
Description
Cette erreur s'affiche lors de l'activation d'un terminal iOS s'il existe déjà un profil sur le terminal.
Solution possible
Accédez à Paramètres > Général > Profils sur le terminal et vérifiez qu'un profil existe déjà. Supprimez le profil et procédez à
une nouvelle activation. Si le problème persiste, vous devrez peut-être réinitialiser le terminal car il est possible que des
données aient été mises en cache.
262
Erreur 3007 : le serveur n'est pas disponible
Description
Cette erreur s'affiche sur un terminal iOS pendant l'activation si le certificat utilisé par BES12 pour signer le profil MDM envoyé
aux terminaux iOS n'est pas approuvé par le terminal. L'utilisateur est invité à approuver ce certificat lorsqu'il active le terminal.
Solution possible
Installez le certificat racine pour l'autorité de certification ayant émis le certificat qui utilise BES12 pour signer le profil MDM
envoyé au terminal iOS.
Pour plus d'informations sur ce certificat, reportez-vous au contenu relatif à la configuration.
Impossible de contacter le serveur. Vérifiez la connectivité ou
l'adresse du serveur
Description
Cette erreur peut s'afficher lors de l'activation du terminal pour les raisons suivantes :
•
Le nom d'utilisateur n'a pas été correctement saisi sur le terminal.
•
L'adresse du client pour l'activation du terminal n'a pas été correctement saisie sur le terminal.
Remarque: uniquement nécessaire en cas de désactivation de l'inscription auprès de BlackBerry Infrastructure.
•
Aucun mot de passe d'activation n'a été défini ou le mot de passe a expiré.
Solutions possibles
Les solutions possibles sont les suivantes :
•
Vérifiez le nom d'utilisateur et le mot de passe.
•
Vérifiez l'adresse du client pour l'activation du terminal.
•
Définissez un nouveau mot de passe d'activation à l'aide de BES12 Self-Service.
263
Les activations des terminaux iOS ou OS X échouent en
présence d'un certificat APNs non valide
Cause possible
Si vous n'êtes pas en mesure d'activer les terminaux iOS ou OS X, cela signifie peut-être que le certificat APNs n'est pas
correctement installé.
Solution possible
Effectuez une ou plusieurs des opérations suivantes :
•
Dans la console de gestion, cliquez sur Paramètres > Intégration externe > Apple Push Notification sur la barre de
menus. Vérifiez que le certificat APNs affiche l'état « Installé ». Si l'état est incorrect, tentez de réenregistrer le
certificat APNs.
•
Pour tester la connexion entre BES12 et le serveur APNs, cliquez sur Certificat APNs test.
•
Si nécessaire, procurez-vous un nouveau fichier CSR signé auprès de BlackBerry, et demandez et enregistrez un
nouveau certificat APNs.
Les utilisateurs ne reçoivent pas d'e-mail d'activation
Description
Les utilisateurs ne reçoivent pas d'e-mail d'activation, même si tous les paramètres de BES12 sont corrects.
Solution possible
Si les utilisateurs ont recours à un serveur de messagerie tiers, les e-mails provenant de BES12 peuvent être marqués comme
spams et finir dans le dossier des spams ou le dossier du courrier indésirable.
Assurez-vous que les utilisateurs ont vérifié si l'e-mail d'activation se trouve dans leur dossier de spams ou leur dossier de
courrier indésirable.
Activation de terminaux iOS inscrits dans DEP
Vous pouvez vous inscrire des terminaux iOS dans le Programme d'inscription des appareils Apple et leur attribuer des
configurations d'inscription dans la console de BES12. Les configurations d'inscription comprennent des règles
supplémentaires, comme « Activer le mode supervisé », attribuées aux terminaux lors de l'inscription MDM.
264
Lorsque les terminaux sont activés, BES12 envoie les stratégies informatiques et des profils que vous avez attribués aux
utilisateurs.
Si vous configurez un terminal pour qu'il utilise Secure Work Space ou si vous attribuez un profil de conformité à un utilisateur,
cet utilisateur doit lancer l'application Good for BES12 après avoir activé son terminal.
Conditions préalables : utilisation de l'application Good for
BES12 avec les terminaux inscrits dans DEP
•
Ajoutez l'application Good for BES12 à la liste des applications. L'application Good for BES12 est disponible sur l'App
Store.
•
Attribuez l'application Good for BES12 aux comptes d'utilisateur ou groupe d'utilisateurs.
Pour plus d'informations sur l'ajout et l'attribution d'applications, reportez-vous à la section Applications.
Étapes à suivre pour activer les terminaux inscrits dans DEP
Pour activer des terminaux iOS inscrits dans le Programme d'inscription des appareils Apple, procédez comme suit :
Étape
Action
Enregistrer les terminaux iOS dans DEP et les attribuer à un serveur MDM.
Attribuez une configuration d'inscription aux terminaux iOS
Enregistrer les terminaux iOS dans DEP et les attribuer à un
serveur MDM
Pour enregistrer les terminaux, vous devez saisir les numéros de série de ces terminaux dans le portail Apple DEP et attribuer
les terminaux à un serveur MDM. Vous pouvez saisir les numéros de série comme suit :
•
Saisissez chaque numéro.
•
Sélectionnez le numéro de commande attribué par Apple aux terminaux lors de leur achat.
•
Téléchargez un fichier .csv contenant les numéros de série.
Avant de commencer: configurez BES12 de manière à utiliser DEP avant d'enregistrer les terminaux iOS.
1.
Dans le navigateur, saisissez deploy.apple.com.
2.
Connectez-vous à votre compte du programme d'inscription des appareils.
265
3.
Cliquez sur Gérer les terminaux (Manage Devices).
4.
Suivez les instructions à l'écran pour saisir les numéros de série des terminaux.
5.
Attribuez les numéros de série à un serveur MDM.
À la fin: attribuez des configurations d'inscription aux terminaux dans la console de gestion de BES12.
Attribuez une configuration d'inscription aux terminaux iOS, à la page 266
Attribuez une configuration d'inscription aux terminaux iOS
Si vous avez créé une configuration d'inscription et sélectionné Attribuer automatiquement tous les nouveaux terminaux à cette
configuration, BES12 attribue automatiquement la configuration aux terminaux lorsque vous enregistrez ces terminaux dans le
programme d'inscription des appareils. Si BES12 n'attribue pas automatiquement une configuration d'inscription, vous devez
vous en charger.
Avant de commencer: enregistrez les terminaux iOS dans DEP et attribuez-les à un serveur MDM.
1.
Dans la barre de menus, cliquez sur Utilisateurs et terminaux > Terminaux DEP Apple.
2.
Cochez les cases en regard des terminaux auxquels vous souhaitez attribuer une configuration d'inscription.
3.
Cliquez sur
4.
Dans la liste déroulante Configuration d'inscription, cliquez sur la configuration d'inscription que vous souhaitez
attribuer.
5.
.
À la fin: distribuez les terminaux iOS aux utilisateurs à des fins d'activation.
Enregistrer les terminaux iOS dans DEP et les attribuer à un serveur MDM, à la page 265
Supprimer une configuration d'inscription attribuée aux
terminaux iOS
Si vous avez attribué une configuration d'inscription aux terminaux et que celle-ci ne leur a pas encore été attribuée, vous
pouvez supprimer la configuration d'inscription des terminaux.
1.
2.
Cochez les cases en regard des terminaux desquels vous souhaitez supprimer une configuration d'inscription.
3.
Cliquez sur
4.
.
À la fin: Attribuez une configuration d'inscription aux terminaux iOS .
266
Gestion des configurations d'inscription
Lorsque vous configurez BES12 pour utiliser le Programme d'inscription des appareils Apple, vous devez créer une
configuration d'inscription. Vous pouvez ajouter plusieurs configurations d'inscription, supprimer des configurations
d'inscription et modifier les paramètres des configurations d'inscription.
Pour plus d'informations sur la configuration deBES12pour utiliser DEP,consultez le contenu relatif à la configuration.
Ajouter une configuration d'inscription
Vous pouvez créer autant de configurations d'inscription que nécessaires à votre entreprise.
1.
2.
Dans le volet de gauche, cliquez sur Intégration externe > Programme d’inscription des appareils Apple.
3.
Dans la section Configurations d'inscription DEP, cliquez sur
4.
Remplissez les champs et cochez les cases pour les éléments que vous voulez inclure dans la configuration d'inscription.
.
•
Si vous sélectionnez Attribuer automatiquement tous les nouveaux terminaux à cette configuration, BES12
attribue automatiquement la configuration d'inscription aux terminaux iOS lorsque vous enregistrez les
terminaux dans le Programme d'inscription des terminaux Apple.
•
Si vous avez déjà créé une configuration d'inscription avec Attribuer automatiquement tous les nouveaux
terminaux à cette configuration et que cette configuration a été appliquée aux terminaux, BES12 n'attribue pas
la nouvelle configuration d'inscription aux terminaux.
•
Seule une configuration d'inscription peut afficher le paramètre Attribuer automatiquement tous les nouveaux
terminaux à cette configuration. Si vous créez une configuration d'inscription (par exemple, configuration_2)
avec le paramètre sélectionné et que celui-ci a déjà été sélectionné pour une configuration existante (par
exemple, configuration_1), BES12 désactive ce paramètre dans configuration_1.
•
Si vous souhaitez attribuer une nouvelle configuration d'inscription aux terminaux et que l'activation est en
attente, vous pouvez supprimer la configuration d'inscription précédemment attribuée aux terminaux et
attribuer la nouvelle configuration d'inscription.
•
Vous devez sélectionner Activer le mode supervisé ou Autoriser la suppression du profil MDM dans la section
Configuration du terminal.
5.
6.
Si vous avez sélectionné "Attribuer automatiquement de nouveaux terminaux à cette configuration", cliquez sur Oui.
À la fin: attribuez la configuration d'inscription aux terminaux.
267
Supprimer une configuration d'inscription attribuée aux terminaux
Si vous supprimez une configuration d'inscription attribuée aux terminaux avant que celle-ci ne leur soit appliquée, BES12
supprime la configuration d'inscription attribuée aux terminaux.
1.
2.
3.
Dans la section Configurations d'inscription DEP, cliquez sur .
4.
Cliquez sur Oui.
À la fin: si BES12 supprime la configuration d'inscription des terminaux, attribuer une configuration d'inscription à ces
terminaux.
Modifier les paramètres d'une configuration d'inscription
Si vous avez attribué une configuration d'inscription à des terminaux et que celle-ci ne leur est pas appliquée, BES12 met à jour
à la configuration d'inscription attribuée aux terminaux lorsque vous enregistrez les modifications apportées à la configuration.
1.
2.
3.
Dans la section Configurations d'inscription DEP, cliquez sur le nom de la configuration que vous souhaitez modifier.
4.
Modifiez les paramètres.
5.
Afficher les paramètres d'une configuration d'inscription
attribuée à un terminal
Si une configuration d'inscription est attribuée à un terminal iOS et que la configuration est en attente, vous pouvez afficher les
paramètres de cette configuration d'inscription.
1.
2.
Dans la colonne Configuration d'inscription, cliquez sur le nom d'une configuration d'inscription.
Afficher les détails de l'utilisateur pour un terminal activé
Une fois le terminal correctement activé, vous pouvez afficher les détails associés à l'utilisateur, comme les groupes auxquels
l'utilisateur est attribué.
268
1.
2.
Dans la colonne Nom d'affichage, cliquez sur le nom d'un utilisateur.
Utilisation du verrouillage d'activation sur les
terminaux iOS
La fonctionnalité de verrouillage d'activation sur les terminaux iOS version 7 ou ultérieure permet aux utilisateurs de protéger
leurs terminaux lorsqu'ils sont perdus ou volés. Pour activer cette fonctionnalité, les utilisateurs se connectent à iCloud et
activent la fonctionnalité Localiser mon iPhone. Lorsque le verrouillage d'activation est activé, l'utilisateur doit saisir son
identifiant et mot de passe Apple avant de pouvoir désactiver Localiser mon iPhone et avant de pouvoir effacer ou réactiver le
terminal. Si un terminal est supervisé à l'aide du programme d'inscription des appareils (DEP) de Apple ou du configurateur
Apple et que ce terminal est activé sur BES12, vous pouvez contourner le verrouillage d'activation.
Dans BES12, vous pouvez gérer la fonctionnalité de verrouillage d'activation sur les terminaux iOS version 7 ou ultérieure qui
sont supervisés. Vous ne pouvez pas gérer la fonctionnalité de verrouillage d'activation sur les terminaux non supervisés.
Lorsqu'un terminal est activé sur BES12, le verrouillage d'activation est désactivé par défaut. La fonctionnalité de verrouillage
d'activation n'a aucun contrôle sur la fonctionnalité Localiser mon iPhone sur le terminal. Lorsque vous activez le verrouillage
d'activation, BES12 stocke un code de contournement que vous pouvez utiliser pour désactiver le verrouillage, afin que le
terminal puisse être effacé et réactivé sans l'identifiant et le mot de passe Apple de l'utilisateur.
Activation du verrouillage d'activation
Remarque: Lors de l'activation de la fonctionnalité de verrouillage d'activation, un léger délai peut se s'écouler entre BES12 et
Apple.
1.
2.
3.
4.
Cliquez sur l'onglet du terminal.
5.
Dans la fenêtre Gestion du terminal, cliquez sur Activer le verrouillage d'activation.
À la fin: Pour afficher la liste des codes de contournement pour les terminaux, consultez Affichage du code de contournement
du verrouillage d'activation
Désactivation du verrouillage d'activation
Remarque: Lors de la désactivation de la fonctionnalité de verrouillage d'activation, un léger délai peut se s'écouler entre
BES12 et Apple.
269
1.
2.
3.
4.
5.
Dans la fenêtre Gestion du terminal, sélectionnez Désactiver le verrouillage d'activation.
Affichage du code de contournement du verrouillage
d'activation
Vous pouvez afficher le code de contournement du verrouillage d'activation et la date à laquelle ce code de contournement a
été généré.
1.
Sur la barre de menus, cliquez sur Utilisateurs > Verrouillage d'activation Apple.
2.
Recherchez un terminal.
3.
Dans les résultats de la recherche, cliquez sur le terminal.
4.
Si nécessaire, faites défiler vers la droite jusqu'à l'écran principal pour afficher le code de contournement.
270
Commandes et contrôles de terminal
13
BES12 permet d'envoyer des commandes aux terminaux via le réseau sans fil pour protéger les données de terminal. Vous
pouvez également localiser des terminaux sur une carte et contrôler quels sont les terminaux qui peuvent accéder à Exchange
ActiveSync.
Utilisation des rapports du tableau de bord
Le tableau de bord utilise des graphiques pour afficher les informations issus des services BES12 sur les utilisateurs et les
terminaux de votre système. Vous pouvez utiliser le curseur pour pointer un élément spécifique du graphique et afficher des
informations sur les utilisateurs ou les terminaux.
Si vous avez besoin de plus d'informations, vous pouvez afficher un rapport à partir du graphique afin d'afficher des
informations détaillées sur les utilisateurs ou les terminaux. Un rapport peut contenir un maximum de 2 000 enregistrements.
Vous pouvez générer une version .csv d'un rapport et exporter le fichier à des fins d'analyse approfondie ou de génération de
rapports.
Pour ouvrir et gérer un compte d'utilisateur, vous pouvez cliquer sur l'utilisateur ou le terminal dans un rapport. Lorsque c'est
chose faite, vous pouvez cliquer sur le bouton Précédent de la page (et non du navigateur) pour revenir au rapport.
Le tableau suivant décrit les informations affichées par chaque rapport du tableau de bord.
Rapport du tableau de bord
Description
Terminaux en itinérance et pas
en itinérance
Liste des utilisateurs dont les terminaux sont actuellement en itinérance
Activations de terminaux
Représentation dynamique des terminaux activés mensuellement dans votre organisation
sur une période de 12 mois, en fonction du moment où les terminaux ont été initialement
activés. Ces chiffres évoluent pour refléter les terminaux actuellement activés. Par
exemple, si un terminal que vous avez activé en août est désactivé, le nombre de terminaux
affichés en août est réduit d'un terminal.
Top 5 des applications gérées
installées
Les cinq applications les plus couramment attribuées par votre organisation et installées
sur les terminaux
Terminaux par plate-forme
Liste des terminaux de votre organisation, par plate-forme
Conformité du terminal
Liste des problèmes détectés sur les terminaux BlackBerry 10, iOS, Androidet Windows
Phone de votre organisation
271
Rapport du tableau de bord
Description
Terminaux par heure du dernier
contact
Nombre de jours passés depuis le dernier contact des terminaux avec le serveur
Terminaux par opérateurs
Liste des terminaux de votre organisation, par fournisseur de service
Top 5 des modèles de terminaux Les cinq modèles de terminaux mobiles les plus couramment utilisés dans votre
organisation
Modifier le type de graphique
Vous pouvez modifier le type de graphique utilisé pour les informations graphiques.
Cliquez sur
en regard d'un graphique et sélectionnez un type de graphique dans la liste déroulante.
Exporter un rapport du tableau de bord au format .csv
1.
Pour ouvrir un rapport, cliquez sur un graphique.
2.
Pour trier les enregistrements en fonction de la colonne sélectionnée, cliquez sur un en-tête de colonne.
3.
Cliquez sur Exporter et enregistrez le fichier.
Envoi de commandes aux terminaux
Vous pouvez envoyer différentes commandes via le réseau sans fil pour gérer les terminaux à distance.
Par exemple, vous pouvez utiliser les commandes dans les situations suivantes :
•
Si un terminal a été égaré, vous pouvez envoyer une commande pour le verrouiller ou supprimer les données
professionnelles qu'il contient.
•
Si vous souhaitez redistribuer un terminal à un autre utilisateur de votre organisation ou si un terminal a été perdu ou
volé, vous pouvez envoyer une commande pour supprimer toutes les données qu'il contient.
•
Lorsqu'un employé quitte votre organisation, vous pouvez envoyer une commande au terminal personnel de
l'utilisateur afin de supprimer uniquement les données professionnelles.
•
Si un utilisateur a oublié le mot de passe de son espace Travail, vous pouvez envoyer une commande pour réinitialiser
ce mot de passe.
La liste des commandes disponibles dépend du type de terminal et d'activation.
272
Envoyer une commande à un terminal
Vous pouvez envoyer différentes commandes à plusieurs terminaux sur le réseau sans fil.
1.
2.
3.
4.
5.
Dans la fenêtre Gérer le terminal, sélectionnez la commande que vous souhaitez envoyer au terminal.
Définir une heure d'expiration pour les commandes
Lorsque vous envoyez la commande « Supprimer toutes les données du terminal » ou « Supprimer uniquement des données
professionnelles » à un terminal, ce dernier doit être connecté à BES12 pour que la commande se termine. Si le terminal ne
parvient pas à se connecter à BES12, la commande reste en attente et le terminal n'est pas supprimé de BES12 sauf si vous le
supprimez manuellement. Sinon, vous pouvez configurer BES12 pour supprimer automatiquement les terminaux lorsque les
commandes ne se terminent pas après le délai spécifié.
1.
Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux > Expiration de la commande de suppression.
2.
Sélectionnez Retirer automatiquement le terminal si la commande ne s'est pas terminée pour la ou les commandes
Expiration de la commande Supprimer toutes les données du terminal et Expiration de la commande Supprimer
uniquement les données professionnelles.
3.
Dans le champ Retirer le terminal après, saisissez le nombre de jours après lequel la commande expire et le terminal est
automatiquement retiré de BES12.
4.
Commandes
Les tableaux suivants répertorient les commandes disponibles, organisées par type de terminal.
BlackBerry 10
Commande
Description
Types d'activation
Spécifier le mot de
passe du terminal,
verrouiller le terminal
et définir un message
Cette commande vous permet de créer un mot de passe de
terminal et de définir un message sur l'écran d'accueil, puis
de verrouiller le terminal. Vous devez créer un mot de passe
conforme aux règles de mots de passe existantes. Lorsque
•
•
•
273
Commande
Types d'activation
Description
l'utilisateur déverrouille le terminal, celui-ci l'invite à accepter
ou rejeter le nouveau mot de passe.
Si une stratégie informatique requiert le même mot de passe
pour le terminal et l'espace Travail, cette commande modifie
également le mot de passe du Work Space.
Cette commande supprime toutes les informations utilisateur
et données des applications stockées sur le terminal, y
compris les informations du Work Space. Elle rétablit les
paramètres d'usine par défaut sur le terminal et supprime
éventuellement le terminal de BES12.
•
•
•
•
•
•
•
Après avoir envoyé cette commande, vous avez la possibilité
de supprimer le terminal de BES12. Si le terminal ne parvient
pas à se connecter à BES12, vous pouvez supprimer le
supprimer de BES12. Si le terminal se connecte à BES12
après que vous l'ayez supprimé, seules les données
professionnelles sont supprimées du terminal, y compris de
l'espace Travail, le cas échéant.
passe du Work Space
et verrouiller
Cette commande vous permet de créer un mot de passe pour
l'espace Travail sur le terminal et de verrouiller l'espace
Travail. Vous devez créer un mot de passe conforme aux
règles de mots de passe existantes. Pour déverrouiller
l'espace Travail, l'utilisateur doit saisir le nouveau mot de
passe que vous créez.
Si une stratégie informatique requiert le même mot de passe
pour le terminal et l'espace Travail, cette commande modifie
également le mot de passe du terminal.
Supprimer
uniquement les
données
professionnelles
Cette commande supprime les données professionnelles, y
compris les stratégies informatiques, profils, applications et
certificats présents sur le terminal et supprime
Si le terminal dispose d'un Work Space, les informations de ce
Work Space sont supprimées et l'espace Travail est supprimé
du terminal.
Le compte d'utilisateur n'est pas supprimé lorsque vous
envoyez cette commande.
274
Commande
Types d'activation
Description
Mettre à jour les
informations du
terminal
Cette commande envoie et reçoit des informations mises à
jour sur le terminal. Par exemple, vous pouvez envoyer des
règles de stratégie informatique ou des profils mis à jour à un
terminal et recevoir des informations mises à jour sur un
terminal comme la version du système d'exploitation ou le
niveau de la batterie.
•
•
•
Commande
Description
Types d'activation
•
Contrôles MDM
•
Travail et Personnel - Contrôle
total
•
Contrôles MDM
•
total
•
Si le terminal dispose d'un Work Space, les informations de ce
•
du terminal.
Travail et Personnel Confidentialité de l'utilisateur
iOS
Supprimer
uniquement les
données
professionnelles
275
Commande
Types d'activation
Description
Cette commande verrouille un terminal. L'utilisateur doit saisir •
le mot de passe du terminal existant pour déverrouiller le
•
terminal. Si un terminal est temporairement perdu, vous
pouvez utiliser cette commande.
Contrôles MDM
total
Lorsque vous envoyez cette commande, le terminal se
verrouille uniquement s'il existe un mot de passe de terminal.
Sinon, aucune action n'est prise sur le terminal.
Déverrouiller le
mot de passe
Cette commande déverrouille le terminal et supprime le mot
de passe existant. L'utilisateur est invité à créer un mot de
passe. Vous pouvez utiliser cette commande si l'utilisateur
oublie le mot de passe de son terminal.
•
Contrôles MDM
•
total
Verrouiller l'espace
Travail
Cette commande verrouille l'espace Travail d'un terminal et
l'utilisateur doit saisir le mot de passe de Work Space existant
pour déverrouiller le terminal.
•
total
•
Réinitialiser le mot de Cette commande supprime le mot de passe actuel du Work
•
passe du Work Space Space du terminal. Lorsque l'utilisateur ouvre l'espace Travail,
le terminal l'invite à définir un nouveau mot de passe de Work
•
Space.
total
Désactiver/Activer
l'espace Travail
Cette commande désactive ou active l'accès aux applications •
du Work Space sur le terminal.
total
•
276
Commande
Description
Types d'activation
Mettre à jour les
informations du
terminal
•
Contrôles MDM
•
total
Commande
Description
Types d'activation
Verrouiller le bureau
Cette commande permet de définir un code PIN et de
verrouiller le terminal.
•
Contrôles MDM
Supprimer
uniquement les
données
professionnelles
•
Contrôles MDM
Cette commande permet de supprimer les informations
•
utilisateur et les données des applications stockées du
terminal. Il rétablit les réglages d'usine par défaut du terminal,
verrouille le terminal avec un code PIN que vous définissez et
supprime éventuellement le terminal du BES12.
Contrôles MDM
Mettre à jour les
données du bureau
•
Contrôles MDM
Commande
Description
Types d'activation
•
Contrôles MDM
•
total (Secure Work Space)
OS X
Android
277
Commande
Supprimer
uniquement les
données
professionnelles
Description
Types d'activation
•
total (Samsung KNOX)
•
•
Contrôles MDM
•
(Secure Work Space)
Si le terminal dispose d'un Work Space, les informations de ce •
du terminal.
•
•
•
•
Travail et Personnel Confidentialité de l'utilisateur (Samsung KNOX)
(Android for Work)
•
(Android for Work - Premium)
•
Cette commande verrouille un terminal. L'utilisateur doit saisir •
•
•
•
278
Contrôles MDM
(Android for Work)
Commande
Types d'activation
Description
•
(Android for Work - Premium)
•
Contrôles MDM
•
•
•
•
(Secure Work Space)
Réinitialiser le mot de Cette commande supprime le mot de passe actuel du Work
•
passe du Work Space Space du terminal. Lorsque l'utilisateur ouvre l'espace Travail,
le terminal l'invite à définir un nouveau mot de passe de Work
•
Space.
Déverrouiller le
mot de passe
Verrouiller l'espace
Travail
Désactiver/Activer
l'espace Travail
Cette commande déverrouille le terminal et supprime le mot
de passe existant. L'utilisateur est invité à créer un mot de
passe. Vous pouvez utiliser cette commande si l'utilisateur
oublie le mot de passe de son terminal.
Cette commande verrouille l'espace Travail d'un terminal et
l'utilisateur doit saisir le mot de passe de Work Space existant
pour déverrouiller le terminal.
(Secure Work Space)
•
•
•
Cette commande désactive ou active l'accès aux applications •
du Work Space sur le terminal.
•
(Secure Work Space)
•
279
Commande
passe du terminal et
verrouiller le terminal
Mettre à jour les
informations du
terminal
Types d'activation
Description
•
•
Cette commande vous permet de créer un mot de passe, puis •
de verrouiller le terminal. Vous devez créer un mot de passe
•
conforme aux règles de mots de passe existantes. Lorsque
l'utilisateur déverrouille le terminal, celui-ci l'invite à accepter
•
ou rejeter le nouveau mot de passe.
Contrôles MDM
•
Commande
Description
Types d'activation
Cette commande verrouille un terminal. L'utilisateur doit saisir Contrôles MDM
Toutes
Windows
Cette commande est uniquement prise en charge sur les
terminaux exécutant Windows 10 Mobileet Windows
Phoneversion 8.1 ou ultérieure.
Générer le mot de
passe et verrouiller le
terminal
Contrôles MDM
Cette commande génère un mot de passe et verrouille le
terminal. Le mot de passe généré est envoyé par e-mail à
l'utilisateur. Vous pouvez utiliser l'adresse électronique
présélectionnée ou spécifier une adresse électronique. Le mot
280
Commande
Types d'activation
Description
de passe généré est conforme aux règles de mots de passe
existantes.
Cette commande est uniquement prise en charge sur les
terminaux exécutantWindows 10 Mobile and Windows
Phone OS version 8.10.14176 ou ultérieure.
Supprimer
uniquement les
données
professionnelles
Contrôles MDM
Cette commande permet de supprimer les informations
utilisateur et les données des applications stockées sur le
terminal. Elle rétablit les paramètres d'usine par défaut sur le
terminal et supprime éventuellement le terminal de BES12.
Contrôles MDM
Mettre à jour les
informations du
terminal
281
Contrôles MDM
Afficher et enregistrer un rapport de terminal
Vous pouvez générer un rapport permettant d'afficher les informations détaillées sur chaque terminal associé à BES12.
1.
2.
3.
4.
Sélectionnez l'onglet Terminal.
5.
Cliquez sur Afficher le rapport de terminal.
6.
Cliquez sur Exporter pour enregistrer le rapport dans un fichier de l'ordinateur, si nécessaire.
Vérification qu'un terminal est autorisé à
accéder à la messagerie professionnelle et aux
données de l'organiseur
Lorsque votre organisation utilise BlackBerry Gatekeeping Service pour contrôler les terminaux qui peuvent accéder à la
messagerie professionnelle et aux données de l'organiseur depuis Exchange ActiveSync, au moins un serveur de contrôle
d'accès est configuré sur un profil de messagerie. Lorsque le profil de messagerie avec contrôle d'accès configuré est attribuée
à un compte d'utilisateur, vous pouvez vérifier l'état de la connexion entre un terminal et Exchange ActiveSync. Vous pouvez
localiser cet état en consultant la page des détails du terminal de la section Stratégie informatique et profils. Les états suivants
s'affichent dans les détails du terminal en regard du profil de messagerie.
État
Description
Inconnu
L'état Inconnu s'affiche lorsque BES12 ne peut pas déterminer l'ID du terminal. Le
terminal est répertorié dans la liste limitée des terminaux et doit être manuellement
ajouté à la liste autorisée.
Connexion en attente
L'état Connexion en attente s'affiche lorsque BES12 connait l'ID du terminal et que
le terminal est mis en file d'attente pour être ajouté à la liste autorisée.
Connexion autorisée
L'état Connexion autorisée s'affiche lorsque BES12 connait l'ID du terminal et que
le terminal se trouve sur la liste autorisée.
282
Vérifier qu'un terminal est autorisé
1.
2.
3.
4.
Sélectionnez l'onglet correspondant au terminal que vous souhaitez vérifier.
5.
Dans la section Stratégie informatique et profils, si le terminal est autorisé, Connexion autorisée s'affiche en regard du
profil de messagerie.
Utilisation d'Exchange Gatekeeping
Votre organisation peut utiliser BlackBerry Gatekeeping Service pour contrôler quels terminaux peuvent accéder à Exchange
ActiveSync. Pour obtenir des instructions sur la configuration de Exchange ActiveSync et BlackBerry Gatekeeping Service dans
le contenu relatif à la configuration, consultez les sections Contrôle des terminaux pouvant accéder à Exchange ActiveSync.
Lorsque votre organisation utilise BlackBerry Gatekeeping Service, tous les terminaux ne figurant pas sur la liste blanche pour
Microsoft Exchange sont signalés dans la liste des terminaux Exchange ActiveSync restreints BES12.
Si vous ajoutez un compte d'utilisateur et que vous attribuez à ce compte d'utilisateur un profil de messagerie pour lequel
BlackBerry Gatekeeping Service est configuré, tous les terminaux précédemment bloqués, mis en quarantaine ou
manuellement autorisés qui sont liés à ce compte d'utilisateur s'affichent dans la liste des terminaux Exchange ActiveSync
restreints.
Si BES12 ne parvient pas à obtenir l'ID Exchange ActiveSync d'un terminal, il n'est pas ajouté à la liste autorisée pour Microsoft
Exchange. Vous pouvez manuellement ajouter ces terminaux à la liste autorisée depuis la liste des terminaux Exchange
ActiveSync limités. Par exemple, si un terminal Android est activé, sans que Secure Work Space utilise le type d'authentification
MDM, BES12 n'est pas en mesure d'obtenir un ID Exchange ActiveSync et vous devez manuellement autoriser le terminal dans
la liste des terminaux Exchange ActiveSync limités.
Autoriser un terminal à accéder à Microsoft ActiveSync
Vous pouvez manuellement autoriser un terminal à accéder à Microsoft ActiveSync pour permettre à un utilisateur de recevoir
des e-mails et d'autres informations depuis Microsoft Exchange Server sur le terminal.
Avant de commencer: Configurez BlackBerry Gatekeeping Service. Dans le contenu relatif à la configuration, consultez les
sections concernant le Contrôle des terminaux pouvant accéder à Exchange ActiveSync.
1.
Sur la barre de menus, cliquez sur Utilisateurs > Exchange Gatekeeping.
2.
3.
Dans la colonne Action, cliquez sur
.
283
Bloquer l'accès d'un terminal à Microsoft ActiveSync
Vous pouvez bloquer manuellement l'accès d'un terminal précédemment autorisé Microsoft ActiveSync. Ce faisant, le terminal
empêche l'utilisateur de récupérer des e-mails et d'autres informations depuis Microsoft Exchange Server sur le terminal.
Avant de commencer: Configurez BlackBerry Gatekeeping Service. Dans le contenu relatif à la configuration, consultez les
sections concernant le Contrôle des terminaux pouvant accéder à Exchange ActiveSync.
1.
2.
Cliquez sur Exchange Gatekeeping.
3.
4.
Dans la colonne Action, cliquez sur
.
Désactivation des terminaux
Lorsque vous ou un utilisateur désactivez un terminal, la connexion entre le terminal et le compte d'utilisateur dans BES12 est
supprimée. Vous ne pouvez pas gérer le terminal et ce dernier ne s'affiche pas dans la console de gestion. L'utilisateur ne peut
pas accéder aux données professionnelles du terminal.
Vous pouvez désactiver un terminal à l'aide de la commande Supprimer les données professionnelles uniquement. Les
utilisateurs peuvent désactiver leurs terminaux à l'aide des méthodes suivantes :
•
Pour les terminaux iOS, les utilisateurs peuvent sélectionner Désactiver mon terminal dans l'écran « À propos de » de
l'application Good for BES12.
•
Pour les terminaux Android ou Windows Phone, les utilisateurs peuvent sélectionner Désactiver mon terminal dans
l'écran « À propos de » de BES12 Client.
•
Pour les terminaux Windows 10, les utilisateurs peuvent sélectionner Paramètres > Comptes > Accès professionnel >
Supprimer.
•
Pour les terminaux BlackBerry 10, les utilisateurs peuvent sélectionner Paramètres > BlackBerry Balance >
Supprimer l'espace Travail.
Pour les terminaux Android qui utilisent KNOX MDM, lorsque le terminal est désactivé, les applications internes sont
désinstallées, et l'option Désinstaller devient disponible pour toutes les applications publiques installées depuis la liste
d'applications selon les besoins.
284
Localiser un terminal
Vous pouvez localiser des terminaux iOS, Android et Windows 10 Mobile (par exemple, en cas de perte ou de vol d'un terminal).
Les utilisateurs doivent accepter le profil de service de localisation pour que la console de gestion puisse afficher
l'emplacement des terminaux iOS et Android sur une carte. Les terminaux Windows 10 Mobile acceptent automatiquement le
profil. L'historique de localisation est disponible pour les terminaux iOS et Android si vous l'avez activé dans le profil.
Avant de commencer: Créez et attribuez un profil de service de localisation.
1.
2.
Cochez la case de chaque terminal que vous souhaitez localiser.
3.
Cliquez sur
4.
Trouvez les terminaux sur la carte à l'aide des icônes suivantes. Si un terminal iOS ou Android ne répond pas avec les
dernières informations d'emplacement et que l'historique de localisation est activé dans le profil, la carte affiche le dernier
emplacement connu du terminal.
•
•
.
Emplacement actuel :
Dernier emplacement connu :
Vous pouvez cliquer ou passez la souris sur une icône pour afficher les informations d'emplacement, telles que la latitude
et la longitude et l'heure à laquelle l'emplacement a été enregistré (il y a 1 minute ou il y a 2 heures, par exemple).
5.
Pour afficher l'historique de localisation d'un terminal iOS ou Android, procédez comme suit :
a.
Cliquez sur Afficher l'historique de localisation.
b.
Sélectionnez une plage de date et d'heure.
c.
Créer un profil de service de localisation, à la page 129
Supprimer Secure Work Space des terminaux
Vous pouvez supprimer Secure Work Space des terminaux. Par exemple, si vous voulez que les terminaux utilisent Good Work à
la place de Secure Work Space, vous pouvez attribuer un profil Good Dynamics à un utilisateur, puis supprimer Secure Work
Space des terminaux. Lorsque vous supprimez Secure Work Space des terminaux, les utilisateurs ne sont pas tenus de réactiver
leurs terminaux.
1.
285
2.
Sélectionnez les utilisateurs pour lesquels vous voulez supprimer Secure Work Space.
3.
Cliquez sur
4.
Lorsqu'un message vous invite à supprimer Secure Work Space des terminaux des utilisateurs sélectionnés, cliquez sur
Supprimer.
.
Lorsque vous supprimez Secure Work Space d'un terminal, le type d'activation qui est attribué au terminal change comme suit :
•
Les terminaux qui sont activés avec Travail et Personnel - Contrôle total ont le type d'activation Contrôles MDM
•
Les terminaux qui sont activés avec Travail et Personnel - Confidentialité de l'utilisateur ont le type d'activation
286
Paramètres de profil
14
Reportez-vous aux descriptions détaillées des paramètres de profil pour configurer les profils de messagerie, de messagerie
IMAP/POP3, SCEP, Wi-Fi et VPN.
Paramètres de profil de messagerie
Vous pouvez utiliser une variable de paramètre de profil correspondant à un champ de texte pour faire référence à une valeur
plutôt que de spécifier la valeur réelle.BES12prend en charge les variables par défaut prédéfinies et les variables
personnalisées que vous définissez. Les profils de messagerie sont pris en charge sur les types de terminaux suivants :
•
BlackBerry 10
•
iOS
•
OS X
•
Android
•
Windows
Dans certains cas, la version minimale du système d'exploitation du terminal requis pour prendre en charge un paramètre
correspondant à une version non prise en charge par BES12. Pour en savoir plus sur les versions prises en charge, consultez la
Matrice de compatibilité.
Communs : paramètres de profil de messagerie
Commun : paramètre de
profil de messagerie
Description
Nom de domaine
Ce paramètre spécifie le nom de domaine du serveur de messagerie.
Adresse électronique
Ce paramètre spécifie l'adresse électronique de l'utilisateur. Si le profil concerne plusieurs
utilisateurs, vous pouvez utiliser la variable %UserEmailAddress%.
Nom d'hôte ou adresse IP
Ce paramètre spécifie le nom d'hôte ou l'adresse IP du serveur de messagerie.
Nom d'utilisateur
Ce paramètre spécifie le nom d'utilisateur de l'utilisateur. Si le profil concerne plusieurs
utilisateurs, vous pouvez utiliser la variable %UserName%.
Serveurs de contrôle d'accès
automatique
Ce paramètre spécifie les serveurs Microsoft Exchange pouvant utiliser le contrôle d'accès
avec les terminaux. Si le compte de messagerie d'un utilisateur se trouve sur un serveur
287
Description
spécifié, lorsque l'utilisateur active un des terminaux suivants, et que ce terminal répond à la
stratégie de sécurité de votre organisation, il est automatiquement ajouté à la liste autorisée
dans Microsoft Exchange :
•
BlackBerry 10
•
Windows
•
iOS
•
OS X
•
Android avec Secure Work Space
Les terminaux sont automatiquement supprimés de la liste autorisée si une application non
attribuée est installée, si le terminal viole les paramètres du profil de conformité attribué ou s'il
est désactivé.
Pour les comptes d'utilisateur existants, vous devez manuellement réattribuer le profil de
messagerie configuré avec contrôle d'accès au compte d'utilisateur ou au groupe pour mettre
en œuvre cette fonctionnalité.
Si vous configurez le contrôle d'accès automatique, le paramètre Type de profil des terminaux
BlackBerry 10 et Windows doit être défini sur « Exchange ActiveSync ».
BlackBerry 10 : paramètres de profil de messagerie
BlackBerry 10 : paramètre de
Description
Nom du compte
Ce paramètre spécifie le nom du compte de messagerie professionnel qui apparait dans
BlackBerry Hub et dans les paramètres du terminal. Vous pouvez utiliser une variable telle
que %UserEmailAddress%.
Port
Ce paramètre spécifie le port utilisé pour se connecter au serveur de messagerie.
Paramètres de remise
Type de profil
Ce paramètre spécifie si vous souhaitez que ce profil prenne en charge Exchange ActiveSync
ou IBM Notes Traveler.
Valeurs possibles :
•
Exchange ActiveSync
•
IBM Notes Traveler
288
Description
La valeur par défaut est Exchange ActiveSync.
Serveur SyncML
Ce paramètre indique le FQDN du serveur IBM Notes Traveler qu'un terminal BlackBerry 10
peut utiliser pour synchroniser les données To Do.
Ce paramètre est valide uniquement si le paramètre Type de profil est défini sur « IBM Notes
Traveler ».
Port SyncML
Ce paramètre indique le port du serveur Notes Traveler qu'un terminal BlackBerry 10 peut
utiliser pour synchroniser les données To Do.
Traveler ».
Utiliser SSL pour SyncML
Ce paramètre indique si un terminal BlackBerry 10 doit se connecter au serveur Notes
Traveler.
Traveler ».
Push activé
Ce paramètre indique si le serveur de messagerie peut transférer les e-mails au terminal
BlackBerry 10.
Intervalle entre les
synchronisations
Ce paramètre indique la fréquence à laquelle un terminal BlackBerry 10 vérifie la présence de
nouveaux e-mails sur le serveur de messagerie.
Ce paramètre est valide uniquement si le paramètre Push activé n'est pas sélectionné.
Valeurs possibles :
•
Manuel
•
5 minutes
•
15 minutes
•
30 minutes
•
1 heure
•
2 heures
•
4 heures
•
24 heures
La valeur par défaut est 15 minutes.
Jours de synchronisation
Ce paramètre spécifie le nombre de jours passés afin de synchroniser les e-mails et données
de l'organiseur avec un terminal BlackBerry 10.
289
Description
Valeurs possibles :
•
1 jour
•
3 jours
•
7 jours
•
14 jours
•
1 mois
•
Toujours
La valeur par défaut est de 1 mois.
Synchronisation manuelle
requise lors de l'itinérance
Ce paramètre indique si un utilisateur doit lancer la synchronisation entre un terminal
BlackBerry 10 et le serveur de messagerie en cas d'itinérance de l'utilisateur.
Utiliser SSL
Ce paramètre spécifie si un terminal doit utiliser SSL pour se connecter au serveur de
messagerie.
Synchronisation du calendrier Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les entrées de calendrier avec
le serveur de messagerie.
Synchronisation des contacts
Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les contacts avec le serveur
de messagerie.
Synchronisation des e-mails
Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les e-mails avec le serveur de
messagerie.
Synchronisation des mémos
Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les données des mémos avec
Ce paramètre est valide uniquement si le paramètre Type de profil est défini sur « Exchange
ActiveSync ».
Synchronisation des tâches
Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les données des tâches avec
ActiveSync ».
Synchronisation ToDo
Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les données To Do avec Notes
Traveler.
Traveler ».
290
Description
Paramètres de messagerie sécurisée
Suggérer un codage par
défaut pour les messages
sortants
Ce paramètre spécifie si un terminal BlackBerry 10 suggère le codage par défaut, (par
exemple, texte brut, signer, crypter ou signer et crypter) pour tous les e-mails sortants. Si ce
paramètre est défini sur Autoriser, un utilisateur peut choisir si le terminal suggère le codage
par défaut ou le codage en fonction de l'historique des messages. Si ce paramètre est défini
sur Requis, le terminal suggère le codage par défaut. Si ce paramètre est défini sur Interdire,
le terminal suggère le codage en fonction de l'historique des messages.
Valeurs possibles :
•
Autoriser
•
Requise
•
Interdire
La valeur par défaut est Autoriser.
La configuration minimale requise est BlackBerry 10 OS version 10.3.1.
Paramètres S/MIME
Prise en charge S/MIME
Ce paramètre spécifie si S/MIME est activé sur un terminal BlackBerry 10. Si ce paramètre est
défini sur Autoriser, un utilisateur peut choisir d'activer ou non la protection S/MIME sur le
terminal. Si ce paramètre est défini sur Requis, la protection S/MIME est activée sur le
terminal et l'utilisateur ne peut pas la désactiver. Si ce paramètre est défini sur Interdire, la
protection S/MIME est désactivée sur le terminal et l'utilisateur ne peut pas l'activer.
Pour envoyer des e-mails cryptés, l'utilisateur doit disposer de la clé publique du destinataire
sur le terminal ou la carte à puce. Pour envoyer des e-mails avec signature numérique, la clé
privée de l'utilisateur doit se trouver sur le terminal ou la carte à puce.
Ce paramètre est prioritaire sur les paramètres Messages S/MIME avec signature numérique
et Messages S/MIME cryptés.
Ce paramètre affecte le paramètre Prise en charge PGP. Si ce paramètre est défini sur Requis,
le paramètre Prise en charge PGP doit être défini sur Interdire.
Valeurs possibles :
•
Autoriser
•
Requise
•
Interdire
291
Description
Messages S/MIME avec
signature numérique
Ce paramètre spécifie si un terminal BlackBerry 10 envoie des e-mails sortants avec une
signature numérique. Si ce paramètre est défini sur Autoriser, l'utilisateur peut choisir de
signer numériquement les e-mails sortants. Si ce paramètre est défini sur Requis, l'utilisateur
doit signer numériquement les e-mails sortants. Si ce paramètre est défini sur Interdire,
l'utilisateur ne peut pas signer numériquement les e-mails sortants.
Pour envoyer des e-mails avec signature numérique, la clé privée de l'utilisateur doit se
trouver sur le terminal ou la carte à puce.
Ce paramètre est valide uniquement si le paramètre Prise en charge S/MIME est défini
Autoriser ou Requis.
Si le paramètre Prise en charge S/MIME est défini sur Requis et que ce paramètre et le
paramètre Messages S/MIME cryptés sont définis sur Interdire, le paramètre Messages S/
MIME cryptés et ce paramètre sont ignorés et le paramètre Autoriser est utilisé.
Valeurs possibles :
•
Autoriser
•
Requise
•
Interdire
Messages S/MIME cryptés
Ce paramètre spécifie si un terminal BlackBerry 10 crypte les e-mails sortants à l'aide du
cryptage S/MIME. Si ce paramètre est défini sur Autoriser, l'utilisateur peut choisir de crypter
les e-mails sortants. Si ce paramètre est défini sur Requis, l'utilisateur doit crypter les e-mails
sortants. Si ce paramètre est défini sur Interdire, l'utilisateur ne peut pas crypter les e-mails
sortants.
sur le terminal ou la carte à puce.
Ce paramètre est valide uniquement si le paramètre Prise en charge S/MIME est défini
Autoriser ou Requis.
Si le paramètre Prise en charge S/MIME est défini sur Requis et que ce paramètre et le
paramètre Messages S/MIME avec signature numérique sont définis sur Interdire, le
paramètre Messages S/MIME avec signature numérique et ce paramètre sont ignorés et le
paramètre par défaut Autoriser est utilisé pour les deux paramètres.
Valeurs possibles :
•
Autoriser
•
Requise
•
Interdire
292
Description
Algorithmes de cryptage
Ce paramètre spécifie les algorithmes de cryptage qu'un terminal BlackBerry 10 peut utiliser
pour crypter des e-mails protégés par S/MIME.
Valeurs possibles :
•
AES (256 bits)
•
AES (192 bits)
•
AES (128 bits)
•
Triple DES
•
RC2
La valeur par défaut est une valeur nulle.
Paramètres PGP
Prise en charge PGP
Ce paramètre spécifie si la protection PGP est activée sur un terminal BlackBerry 10. Si ce
paramètre est défini sur Autoriser, un utilisateur peut choisir d'activer ou non la protection
PGP sur le terminal. Si ce paramètre est défini sur Requis, la protection PGP est activée sur le
terminal et l'utilisateur ne peut pas la désactiver. Si ce paramètre est défini sur Interdire, la
protection PGP est désactivée sur le terminal et l'utilisateur ne peut pas l'activer.
sur le terminal. Pour envoyer des e-mails avec signature numérique, la clé privée de
l'utilisateur doit se trouver sur le terminal.
Le paramètre Prise en charge S/MIME affecte ce paramètre. Si le paramètre Prise en charge
S/MIME est défini sur Requis ou si le paramètre Prise en charge S/MIME est défini sur
Autoriser et le paramètre Messages S/MIME avec signature numérique ou Messages cryptés
S/MIME sont définis sur Requis, ce paramètre doit être défini sur Interdire.
Valeurs possibles :
•
Autoriser
•
Requise
•
Interdire
Adresse Symantec Encryption Ce paramètre spécifie le FQDN ou l'adresse IP du serveur Symantec Encryption Management
Management Server
Server de votre entreprise pour demander à un utilisateur de terminal BlackBerry 10 d'inscrire
le terminal sur ce serveur afin d'envoyer des PGP.
293
Description
Le paramètre Prise en charge PGP affecte ce paramètre. Le terminal utilise ce paramètre si le
paramètre PGP est défini sur Autoriser ou Requis.
Méthode d'inscription
Symantec Encryption
Management Server
Ce paramètre spécifie la méthode qu'un utilisateur de terminal BlackBerry 10 doit utiliser
pour inscrire le terminal sur Symantec Encryption Management Server. Si ce paramètre est
défini sur Authentification par e-mail, le terminal invite l'utilisateur à saisir son adresse
électronique. Si ce paramètre est défini sur Authentification Microsoft Active Directory, le
terminal invite l'utilisateur à saisir son nom d'utilisateur de domaine et son mot de passe.
Le paramètre Prise en charge PGP affecte ce paramètre. Le terminal utilise ce paramètre si le
paramètre PGP est défini sur Autoriser ou Requis.
Valeurs possibles :
•
Authentification par e-mail
•
Authentification Microsoft Active Directory
La valeur par défaut est Authentification par e-mail.
Profils associés
Ce paramètre spécifie le type d'authentification utilisé par un terminal BlackBerry 10 pour se
connecter au serveur de messagerie.
Valeurs possibles :
•
Aucune
•
SCEP
•
La valeur par défaut est Aucune.
Profil SCEP associé
Ce paramètre spécifie le profil SCEP associé utilisé par un BlackBerry 10 terminal pour obtenir
un certificat client et s'authentifier auprès du serveur de messagerie.
Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur
SCEP.
Profil des informations
Ce paramètre spécifie le profil des informations d'identification de l'utilisateur associé utilisé
d'identification de l'utilisateur par un BlackBerry 10 terminal pour obtenir un certificat client et s'authentifier auprès du
associé
serveur de messagerie.
294
Description
Informations d'identification de l'utilisateur.
Classification de messages
Fichier de classification de
messages (.json)
Ce paramètre spécifie le fichier de classification de messages à envoyer aux terminaux des
utilisateurs.
Profil S/MIME et dépendances entre les paramètres des terminaux
Le tableau suivant présente les dépendances entre les paramètres S/MIME que vous pouvez configurer dans BES12 et les
paramètres S/MIME que les utilisateurs peuvent configurer sur les terminaux BlackBerry 10. Selon leur définition, les options de
la liste déroulante Codage des terminaux changent. Les terminaux ignorent la valeur de certains paramètres si un paramètre de
priorité plus élevée (paramètre Prise en charge S/MIME, par exemple) est en conflit avec la valeur de ce paramètre.
Paramètre Prise en
charge S/MIME
Paramètre Messages Paramètre
S/MIME avec
Messages S/
signature numérique MIME cryptés
Paramètres S/MIME sur le
terminal
Autorisé
Autorisé
L'utilisateur peut activer ou
désactiver la protection S/MIME.
Autorisé
Autorisé
Autorisé
Requise
Non autorisé
295
Liste déroulante
Codage du terminal
•
Texte brut
•
Signer (S/
MIME)
•
Crypter (S/
MIME)
•
Signer et
crypter (S/
MIME)
La protection S/MIME est
activée. L'utilisateur ne peut pas
la désactiver.
•
Crypter (S/
MIME)
•
Signer et
crypter (S/
MIME)
•
Texte brut
Paramètre Prise en
charge S/MIME
S/MIME avec
Messages S/
Requise
Requise
Autorisé
terminal
la désactiver.
Liste déroulante
Codage du terminal
•
Signer (S/
MIME)
•
Signer (S/
MIME)
•
Signer et
crypter (S/
MIME)
Requise
Requise
Signer et crypter (S/
activée. L'utilisateur ne peut pas MIME)
la désactiver.
Requise
Non autorisé
Signer (S/MIME)
la désactiver.
Non autorisé
Autorisé
•
Texte brut
•
Crypter (S/
MIME)
Non autorisé
Requise
Crypter (S/MIME)
la désactiver.
Non autorisé
Non autorisé
Texte brut
désactiver la protection S/MIME,
mais ne peut pas crypter ou
signer les messages, car les
profils nécessaires sont définis
sur Non autorisé.
Autorisé
Autorisé
la désactiver.
296
•
Signer (S/
MIME)
•
Crypter (S/
MIME)
Paramètre Prise en
charge S/MIME
S/MIME avec
Messages S/
Autorisé
Requise
terminal
la désactiver.
Liste déroulante
Codage du terminal
•
Signer et
crypter (S/
MIME)
•
Crypter (S/
MIME)
•
Signer et
crypter (S/
MIME)
Autorisé
Non autorisé
Signer (S/MIME)
la désactiver.
Requise
Autorisé
la désactiver.
•
Signer (S/
MIME)
•
Signer et
crypter (S/
MIME)
Requise
Requise
Signer et crypter (S/
activée. L'utilisateur ne peut pas MIME)
la désactiver.
Requise
Non autorisé
Signer (S/MIME)
la désactiver.
Non autorisé
Autorisé
Crypter (S/MIME)
la désactiver.
Non autorisé
Requise
Crypter (S/MIME)
la désactiver.
Non autorisé
Non autorisé
(Ce paramètre est
ignoré)
(Ce paramètre
est ignoré)
la désactiver.
297
•
Signer (S/
MIME)
Paramètre Prise en
charge S/MIME
Non autorisé
S/MIME avec
Messages S/
Tous les paramètres
sont ignorés
Tous les
paramètres
sont ignorés
terminal
désactivée. L'utilisateur ne peut
pas l'activer.
Liste déroulante
Codage du terminal
•
Crypter (S/
MIME)
•
Signer et
crypter (S/
MIME)
Texte brut
Profil PGP et dépendances entre les paramètres des terminaux
Le tableau suivant présente les dépendances entre le paramètre Prise en charge PGP que vous pouvez configurer dans PGP et
les paramètres BES12 que les utilisateurs peuvent configurer sur les terminaux BlackBerry 10. Selon la définition du paramètre
Prise en charge PGP, les options de la liste déroulante Codage des terminaux changent. Les terminaux ignorent la valeur de ce
paramètre si un paramètre de priorité plus élevée (paramètre Prise en charge S/MIME, par exemple) est en conflit avec la valeur
de ce paramètre.
Paramètre Prise en charge PGP
Paramètres PGP du terminal
Liste déroulante Codage du terminal
Autoriser
Les utilisateurs peuvent activer ou
désactiver la protection PGP.
•
Texte brut
•
Signer (PGP)
•
Crypter (PGP)
•
Signer et crypter (PGP)
•
Signer (PGP)
•
Crypter (PGP)
•
Signer et crypter (PGP)
Requise
Interdire
La protection PGP est activée.
L'utilisateur ne peut pas la désactiver.
La protection PGP est désactivée.
L'utilisateur ne peut pas l'activer.
298
Aucune liste déroulante. Le texte brut
est utilisé.
iOS : paramètres de profil de messagerie
iOS : paramètre de profil de
messagerie
Description
Autoriser le déplacement de
messages
Ce paramètre spécifie si les utilisateurs peuvent déplacer les e-mails de ce compte vers un
autre compte de messagerie présent sur un terminal iOS.
Autoriser la synchronisation
des adresses récentes
Ce paramètre spécifie si un utilisateur de terminal iOS peut synchroniser les adresses
récemment utilisées sur les terminaux.
Utiliser uniquement dans la
messagerie
Ce paramètre spécifie si les applications autres que l'application de messagerie d'un terminal
iOS peuvent utiliser ce compte pour envoyer des e-mails.
Activer S/MIME
Ce paramètre spécifie si un utilisateur de terminal iOS peut envoyer des e-mails protégés par
S/MIME.
Informations d'identification
de signature
Ce paramètre spécifie la manière dont les terminaux trouvent les certificats requis pour signer
les messages.
Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné.
Valeurs possibles :
•
Certificat partagé
•
SCEP
•
Après avoir choisi le type de profil que vous souhaitez utiliser, spécifiez le profil de certificat
partagé, profil SCEP ou profil des informations d'identification de l'utilisateur.
Certificat partagé de signature Ce paramètre spécifie le profil de certificat partagé pour un certificat client utilisé par un
terminal iOS afin de signer des e-mails.
SCEP de signature
Ce paramètre spécifie le profil SCEP utilisé par les terminaux pour récupérer les certificats
requis pour signer les e-mails à l'aide de S/MIME.
de connexion de l'utilisateur
Ce paramètre spécifie le profil des informations d'identification de l'utilisateur utilisé par les
terminaux pour obtenir les certificats client requis pour signer les e-mails à l'aide de S/MIME.
299
messagerie
Description
de cryptage
Ce paramètre spécifie la manière dont les terminaux trouvent les certificats requis pour
crypter les messages.
Valeurs possibles :
•
Certificat partagé
•
SCEP
•
Après avoir sélectionné le type de profil, sélectionnez le profil de certificat partagé, profil SCEP
ou profil des informations d'identification de l'utilisateur que vous souhaitez utiliser.
Certificat partagé de cryptage Ce paramètre spécifie le profil de certificat partagé pour un certificat client utilisé par un
terminal iOS afin de crypter des e-mails.
Les terminaux choisissent le certificat adapté au destinataire pour crypter les messages à
l'aide de S/MIME.
SCEP de cryptage
requis et crypter les e-mails à l'aide de S/MIME.
Ce paramètre s'applique uniquement si le paramètre Activer S/MIME est sélectionné.
de l'utilisateur de cryptage
terminaux pour récupérer les certificats client requis et crypter les e-mails à l'aide de S/MIME.
Crypter les messages
Ce paramètre spécifie si tous les e-mails doivent être cryptés lorsque l'utilisateur les envoie
(Obligatoire) ou si l'utilisateur peut choisir les messages à crypter au moment où il les envoie
(Autoriser).
Valeurs possibles :
•
Obligatoire
•
Autoriser
La valeur par défaut est Requis.
L'exigence minimale est iOS version 8.0 et les terminaux doivent être activés avec les
commandes MDM.
300
messagerie
Description
de l'organiseur avec un terminal iOS.
Valeurs possibles :
•
1 jour
•
3 jours
•
7 jours
•
14 jours
•
1 mois
•
Toujours
La valeur par défaut est 7 jours.
Remarque: Ce paramètre s'applique uniquement aux applications de messagerie et de
l'organiseur par défaut des terminaux iOS avec le type d'activation Contrôles MDM. Si le type
d'activation Travail et Personnel - Confidentialité de l'utilisateur ou Travail et Personnel Contrôle total est attribué au terminal, ce paramètre n'affecte pas les paramètres de
synchronisation de l'application de messagerie et de l'organiseur par défaut ou de
l'application Work Connect.
Authentification
Activer BlackBerry Secure
Gateway Service
Ce paramètre spécifie si les terminaux iOS utilisant le type d'activation Contrôles MDM
utilisent BlackBerry Secure Gateway Service pour se connecter au serveur de messagerie.
BlackBerry Secure Gateway Service fournit une connexion sécurisée par le biais de et au
serveur de messagerie de votre entreprise via BlackBerry Infrastructure et BES12. Avant
d'activer ce service, vérifiez que votre entreprise dispose des licences BES12 adéquates. Pour
en savoir plus, rendez-vous sur le site http://support.blackberry.com/kb et consultez
l'article KB37720.
Ce paramètre spécifie le type d'authentification utilisé par un terminal iOS pour se connecter
au serveur de messagerie.
Ce paramètre est valide uniquement si le paramètre Activer BlackBerry Secure Gateway n'est
pas sélectionné.
Valeurs possibles :
•
Aucune
•
Certificat partagé
•
SCEP
•
301
messagerie
Description
Profil de certificat partagé
Ce paramètre spécifie le profil de certificat partagé du certificat client utilisé par un terminal
iOS pour se connecter au serveur de messagerie.
Ce paramètre est valide uniquement si le paramètre Type d'authentification ou le paramètre
Méthode d'authentification est défini sur Certificat partagé.
Ce paramètre spécifie le profil SCEP associé utilisé par un iOS terminal pour inscrire un
certificat client et s'authentifier auprès du serveur de messagerie.
pas sélectionné et si le paramètre Type d'authentification est défini sur SCEP.
d'identification de l'utilisateur par un terminal iOS pour obtenir un certificat client et s'authentifier auprès du serveur de
associé
messagerie.
pas sélectionné et si le paramètre Type d'authentification est défini sur Informations
d'identification de l'utilisateur.
Utiliser des informations
Ce paramètre spécifie si un terminal utilise des informations d'identification et un certificat
d'identification et un certificat client obtenus à l'aide du profil SCEP associé pour s'authentifier auprès du serveur de
messagerie.
pas sélectionné et si le paramètre Type d'authentification est défini sur SCEP.
Utiliser SSL
messagerie.
Accepter tous les certificats
SSL
Ce paramètre spécifie si les terminaux avec Secure Work Space acceptent les certificats SSL
non approuvés du serveur de messagerie.
Ce paramètre est valide uniquement si le paramètre Utiliser SSL est sélectionné.
Domaines de messagerie externes
Liste autorisée des domaines
de messagerie externes
Ce paramètre spécifie la liste de domaines vers lesquels un utilisateur peut envoyer des emails professionnels et des entrées de calendriers. Par exemple, lorsqu'un utilisateur ajoute
un destinataire disposant d'une adresse électronique dans le domaine autorisé à un e-mail ou
une entrée de calendrier, aucun message d'avertissement ne s'affiche. Ce paramètre
s'applique à l'espace Travail uniquement.
302
messagerie
Description
Si vous souhaitez indiquer plusieurs noms de domaine, séparez-les par une virgule (,), un
point-virgule (;) ou un espace.
Liste restreinte des domaines
Ce paramètre spécifie la liste de domaines vers lesquels les utilisateurs peuvent envoyer des
e-mails professionnels et des entrées de calendriers. Par exemple, si un utilisateur tente
d'ajouter un destinataire disposant d'une adresse électronique correspondant au domaine
limité à un e-mail ou une invitation de calendrier, l'application Work Connect ne permet pas à
l'utilisateur de mener à bien cette opération. Ce paramètre s'applique à l'espace Travail
uniquement.
Autoriser Mail Drop
Ce paramètre spécifie si les utilisateurs peuvent envoyer des fichiers à partir de ce compte
avec Mail Drop.
commandes MDM.
OS X : paramètres de profil de messagerie
OS X applique les profils aux terminaux ou comptes d'utilisateur. Les profils de messagerie électronique sont appliqués aux
comptes d'utilisateur.
OS X : paramètre de profil de
Description
messagerie
Chemin d'accès
Ce paramètre spécifie le chemin de réseau du serveur de messagerie.
Port
Ce paramètre spécifie le port utilisé pour se connecter au serveur de messagerie.
Utiliser SSL
messagerie.
externe
Ce paramètre spécifie le nom d'hôte ou l'adresse IP externe du serveur de messagerie.
Utiliser un protocole SSL
externe
messagerie externe.
Chemin d'accès externe
Ce paramètre spécifie le chemin de réseau du serveur de messagerie externe.
303
OS X : paramètre de profil de
Description
messagerie
Port du serveur externe
Ce paramètre spécifie le port utilisé pour se connecter au serveur de messagerie externe.
Android : paramètres de profil de messagerie
Android : paramètre de profil
Description
de messagerie
Type de profil
Valeurs possibles :
•
Exchange ActiveSync
•
IBM Notes Traveler
Ce paramètre est valide uniquement sur les terminaux dotés de Samsung KNOX Workspace
ou Secure Work Space.
de l'organiseur avec un terminal Android.
Valeurs possibles :
•
Illimité
•
1 jour
•
3 jours
•
7 jours
•
14 jours
•
1 mois
La valeur par défaut est de 1 mois.
Pour les terminaux Android utilisant Samsung KNOX MDM, si vous définissez la valeur sur
Illimité, un seul mois est synchronisé.
Remarque: Ce paramètre s'applique uniquement aux applications de messagerie et de
l'organiseur par défaut des terminaux Android avec le type d'activation Contrôles MDM. Si le
type d'activation Travail et Personnel - Confidentialité de l'utilisateur ou Travail et Personnel -
304
Description
de messagerie
Contrôle total est attribué au terminal, ce paramètre n'affecte pas les paramètres de
synchronisation des applications de messagerie et de l'organiseur par défaut ou de
l'application Work Space Manager.
Ce paramètre spécifie le type d'authentification utilisé par un terminal Android pour se
connecter au serveur de messagerie.
Valeurs possibles :
•
Aucune
•
Certificat partagé
•
SCEP
•
Ce paramètre spécifie le profil SCEP associé utilisé par un terminal Android pour obtenir un
certificat client et s'authentifier auprès du serveur de messagerie.
SCEP.
Utiliser des informations
Ce paramètre spécifie si un terminal utilise des informations d'identification et un certificat
d'identification et un certificat client obtenus à l'aide du profil SCEP associé pour s'authentifier auprès du serveur de
messagerie.
SCEP.
Ce paramètre spécifie le profil de certificat partagé du certificat client utilisé par un terminal
Android pour se connecter au serveur de messagerie.
Certificat partagé.
Ce paramètre spécifie le profil des informations d'identification de l'utilisateur du certificat
d'identification de l'utilisateur client utilisé par un terminal Android pour se connecter au serveur de messagerie.
associé
Utiliser SSL
messagerie.
305
Description
de messagerie
Accepter tous les certificats
SSL
Ce paramètre spécifie si les terminaux avec Secure Work Space acceptent les certificats SSL
non approuvés du serveur de messagerie.
Ce paramètre est valide uniquement si le paramètre Utiliser SSL est sélectionné.
Taille maximale des pièces
jointes aux e-mails
Ce paramètre spécifie la taille maximale autorisée pour les pièces jointes d'e-mail (en Mo).
Les valeurs possibles sont 1 à 365. Le paramètre par défaut est 25.
Ce paramètre s'applique uniquement aux terminaux Android for Work.
Signature électronique par
défaut pour les nouveaux
messages
Ce paramètre spécifie une signature d'e-mail qui est automatiquement ajoutée aux nouveaux
e-mails.
Activer S/MIME
Ce paramètre spécifie si les terminaux peuvent envoyer des e-mails protégés par S/MIME.
Ce paramètre s'applique uniquement aux terminaux Android for Work.
Pour les terminaux qui utilisent BlackBerry Productivity Suite, vous devez définir une valeur
pour le paramètre Prise en charge S/MIME.
Signer les messages
Ce paramètre spécifie si les terminaux envoient tous les e-mails sortants avec une signature
numérique.
Ce paramètre n'est pas pris en charge sur les terminaux qui sont activés avec Secure Work
Space.
Pour les terminaux Android for Work, ce paramètre s'applique uniquement aux terminaux qui
utilisent Diviser la productivité.
Pour les terminaux qui utilisent le BlackBerry Productivity Suite, vous devez définir une valeur
pour le paramètre Messages S/MIME signés numériquement.
de signature
Ce paramètre spécifie les identifiants que le terminal utilisera pour signer les e-mails.
Ce paramètre est valide uniquement si le paramètre Signer les messages est sélectionné.
Valeurs possibles :
•
Certificat partagé
•
SCEP
•
La valeur par défaut est Certificat partagé.
306
Description
de messagerie
terminal afin de signer des e-mails.
Ce paramètre est valide uniquement si le paramètre Identifiants de connexion est défini sur
SCEP de signature
Ce paramètre spécifie le profil SCEP pour un certificat client utilisé par un terminal afin de
signer des e-mails.
SCEP.
Ce paramètre spécifie le profil d'identifiants de connexion pour un certificat client utilisé par
un terminal afin de signer des e-mails.
Identifiants de connexion d'utilisateur.
Ce paramètre spécifie si les terminaux cryptent les e-mails sortants à l'aide du cryptage S/
MIME.
Ce paramètre n'est pas pris en charge sur les terminaux qui sont activés avec Secure Work
Space.
Pour les terminaux Android for Work, ce paramètre s'applique uniquement aux terminaux qui
utilisent Diviser la productivité.
Pour les terminaux qui utilisent le BlackBerry Productivity Suite, vous devez définir une valeur
pour le paramètre Messages S/MIME signés numériquement.
de cryptage
Ce paramètre spécifie les identifiants que le terminal utilisera pour crypter les e-mails.
Ce paramètre est valide uniquement si le paramètre Crypter les messages est sélectionné.
Valeurs possibles :
•
Certificat partagé
•
SCEP
•
terminal afin de crypter des e-mails.
307
Description
de messagerie
Ce paramètre est valide uniquement si le paramètre Identifiants de cryptage est défini sur
SCEP de cryptage
Ce paramètre spécifie le profil SCEP pour un certificat client utilisé par un terminal afin de
crypter des e-mails.
SCEP.
Ce paramètre spécifie le profil d'identifiants de connexion pour un certificat client utilisé par
un terminal afin de crypter des e-mails.
Exiger l'authentification par
carte à puce pour la
messagerie
Ce paramètre spécifie si une carte à puce est requise par les terminaux Samsung KNOX pour
s'authentifier auprès du serveur de messagerie.
Domaines de messagerie externes
Liste autorisée des domaines
Ce paramètre spécifie la liste de domaines vers lesquels un utilisateur peut envoyer des emails professionnels et des entrées de calendriers. Par exemple, lorsqu'un utilisateur ajoute
un destinataire disposant d'une adresse électronique dans le domaine autorisé à un e-mail ou
une entrée de calendrier, aucun message d'avertissement ne s'affiche. Ce paramètre
s'applique à l'espace Travail uniquement.
Liste restreinte des domaines
Ce paramètre spécifie la liste de domaines vers lesquels les utilisateurs peuvent envoyer des
e-mails professionnels et des entrées de calendriers. Par exemple, si un utilisateur tente
d'ajouter un destinataire disposant d'une adresse électronique correspondant au domaine
limité à un e-mail ou une invitation de calendrier, l'application Messagerie ou Calendrier ne
permet pas à l'utilisateur de mener à bien cette opération. Ce paramètre s'applique à l'espace
Travail uniquement.
BlackBerry Productivity Suite
Ces paramètres s'appliquent uniquement aux terminaux PRIV.
308
Description
de messagerie
Effectuer la vérification OCSP
Ce paramètre spécifie si les terminaux peuvent utiliser OCSP pour vérifier l'état de certificats
S/MIME.
Autoriser l'acceptation de
certificats non approuvés
Ce paramètre spécifie si les utilisateurs peuvent autoriser le terminal à accepter des certificats
non approuvés.
Autoriser l'envoi des
évènements de télémétrie
depuis le profil professionnel
Ce paramètre spécifié si BlackBerry Productivity Suite permet la collecte de données
d'utilisation.
Type de sécurité
Ce paramètre spécifie le type de sécurité utilisé par BlackBerry Productivity Suite.
Valeurs possibles :
•
SSL
•
SSL-Trust All
La valeur par défaut est SSL.
Autoriser le partage de
données entre les profils
professionnel et personnel
Ce paramètre indique si le profil personnel peuvent accéder aux données dans le profil de
travail. Des données professionnelles et personnelles peuvent être consultées à partir de
BlackBerry Hub. L'option Autoriser les applications personnelles à accéder aux données
professionnelles doit aussi être sélectionnée.
Autoriser les applications
personnelles à accéder aux
Ce paramètre spécifie si les applications personnelles peuvent accéder aux données
professionnelles. Des données professionnelles et personnelles peuvent être consultées à
partir de BlackBerry Hub. L'option Autoriser le partage de données entre les profils
professionnel et personnel doit aussi être sélectionnée.
Paramètres S/MIME
Ces paramètres s'appliquent uniquement aux terminaux PRIV.
Prise en charge S/MIME
Ce paramètre spécifie si un terminal Android qui utilise BlackBerry Productivity Suite peut
envoyer des e-mails protégés par S/MIME.
Valeurs possibles :
•
Autoriser
•
Requise
•
Interdire
309
Description
de messagerie
Messages S/MIME avec
signature numérique
Ce paramètre spécifie si un terminal Android qui utilise BlackBerry Productivity Suite envoie
des e-mails sortants avec une signature numérique.
Valeurs possibles :
•
Autoriser
•
Requise
•
Interdire
Messages S/MIME cryptés
Ce paramètre spécifie si un terminal Android qui utilise BlackBerry Productivity Suite crypte
les e-mails sortants à l'aide du cryptage S/MIME.
Valeurs possibles :
•
Autoriser
•
Requise
•
Interdire
Algorithmes de cryptage S/
MIME
Ce paramètre spécifie les algorithmes de cryptage qu'un terminal Android qui utilise
BlackBerry Productivity Suite peut utiliser pour crypter des e-mails protégés par S/MIME.
Valeurs possibles :
•
AES (256 bits)
•
AES (192 bits)
•
AES (128 bits)
•
Triple DES
•
ARC2
Windows : paramètres de profil de messagerie
Windows : paramètre de
Description
310
Type de profil
Description
Valeurs possibles :
•
Exchange ActiveSync
•
IBM Notes Traveler
Nom du compte
Ce paramètre spécifie le nom du compte de messagerie professionnel qui apparait sur le
terminal Windows. Vous pouvez utiliser une variable telle que %UserEmailAddress%.
Intervalle de synchronisation
Ce paramètre spécifie la fréquence à laquelle un terminal Windows télécharge de nouveaux emails à partir du serveur de messagerie.
Valeurs possibles :
•
À mesure que les éléments sont reçus
•
Manuel
•
15 minutes
•
30 minutes
•
60 minutes
La valeur par défaut est À mesure que les éléments sont reçus.
de l'organiseur avec un terminal Windows.
Valeurs possibles :
•
Toujours
•
3 jours
•
7 jours
•
14 jours
•
1 mois
Utiliser SSL
Ce paramètre spécifie si un terminal Windows doit utiliser SSL pour se connecter au serveur
de messagerie.
Contenu à synchroniser
311
Description
Ce paramètre spécifie si un terminal Windows synchronise les e-mails avec le serveur de
messagerie.
Contacts
Ce paramètre spécifie si un terminal Windows synchronise les contacts avec le serveur de
messagerie.
Calendrier
Ce paramètre spécifie si un terminal Windows synchronise les entrées de calendrier avec le
Tâche
Ce paramètre spécifie si un terminal Windows synchronise les données des tâches avec le
ActiveSync ».
Paramètres de profil de messagerie IMAP/POP3
personnalisées que vous définissez. Les profils de messagerie IMAP/POP3 sont pris en charge sur les types de terminaux
suivants :
•
iOS
•
OS X
•
Android
•
Windows
correspondant à une version non prise en charge par BES12. Pour en savoir plus sur les versions prises en charge, consultez la
Matrice de compatibilité.
Communs : paramètres de profil de messagerie IMAP/POP3
profil de messagerie IMAP/
POP3
Description
Type de messagerie
Ce paramètre spécifie le type de serveur de messagerie.
312
POP3
Description
Valeurs possibles :
•
IMAP
•
POP3
La valeur par défaut est IMAP.
Nom d'affichage
Ce paramètre spécifie le nom d'affichage du compte. Si le profil concerne plusieurs
utilisateurs, vous pouvez utiliser la variable %UserDisplayName%.
Adresse e-mail,
Ce paramètre spécifie l'adresse électronique de l'utilisateur. Si le profil concerne plusieurs
utilisateurs, vous pouvez utiliser la variable %UserEmailAddress%.
Paramètres du courrier entrant
Ce paramètre spécifie le nom d'hôte ou l'adresse IP du serveur de messagerie pour le courrier
entrant.
Port
Ce paramètre spécifie le port utilisé pour se connecter au serveur de messagerie pour le
courrier entrant.
Nom d'utilisateur
Ce paramètre spécifie le nom d'utilisateur de l'utilisateur. Si le profil concerne plusieurs
Utiliser SSL pour les e-mails
entrants
Ce paramètre spécifie si un terminal iOS, Android ou Windows Phone doit utiliser SSL pour se
connecter au serveur de messagerie et récupérer le courrier reçu.
Paramètres du courrier sortant
Ce paramètre spécifie le nom d'hôte ou l'adresse IP du serveur de messagerie pour le courrier
sortant.
Port
Ce paramètre spécifie le port utilisé pour se connecter au serveur de messagerie pour le
courrier sortant.
Utiliser SSL pour les e-mails
sortant
Ce paramètre spécifie si un terminal iOS, Android ou Windows Phone doit utiliser SSL pour se
connecter au serveur de messagerie pour envoyer du courrier.
Authentification requise pour
les e-mails sortants
Ce paramètre spécifie si un terminal doit s'authentifier auprès du serveur pour envoyer du
courrier.
313
POP3
Utiliser les mêmes
informations d'identification
que pour les paramètres
entrants
Description
Ce paramètre spécifie si un terminal iOS, Android ou Windows Phone utilise les mêmes
informations d'identification pour recevoir les e-mails que celles utilisées pour envoyer des emails et s'authentifier auprès du serveur de messagerie.
Si un terminal n'utilise pas les mêmes informations d'identification pour recevoir les e-mails
que celles utilisées pour envoyer des e-mails et s'authentifier auprès du serveur de
messagerie, vous pouvez spécifier le nom d'utilisateur et le mot de passe utilisés par un
terminal.
Ce paramètre est valide uniquement si le paramètre Authentification requise pour les e-mails
sortants est sélectionné.
iOSetOS X : paramètres de profil de messagerie IMAP/POP3
OS X applique les profils aux terminaux ou comptes d'utilisateur. Les profils IMAP/POP3 sont appliqués aux comptes
d'utilisateur.
messagerie IMAP/POP3
Description
Préfixe de chemin IMAP
Ce paramètre spécifie le préfixe de chemin IMAP, si nécessaire.
Si nécessaire, contactez votre FAI pour plus d'informations.
Ce paramètre est valide uniquement si la valeur du paramètre Type de messagerie est définie
sur IMAP.
Autoriser le déplacement de
messages
Ce paramètre spécifie si les utilisateurs peuvent déplacer les e-mails de ce compte vers un
autre compte de messagerie sur un terminal iOS.
Autoriser la synchronisation
des adresses récentes
Ce paramètre spécifie si un utilisateur de terminal iOS peut synchroniser les adresses
récemment utilisées sur les terminaux.
Utiliser uniquement dans la
messagerie
Ce paramètre spécifie si les applications autres que l'application de messagerie d'un terminal
iOS peuvent utiliser ce compte pour envoyer des e-mails.
Activer S/MIME
Ce paramètre spécifie si un utilisateur de terminal iOS peut envoyer des e-mails protégés par
S/MIME.
S/MIME est pris en charge uniquement sur les terminaux qui sont activés avec les commandes
MDM.
314
de signature
Description
Ce paramètre spécifie les identifiants que le terminal utilisera pour signer les e-mails.
Valeurs possibles :
•
Certificat partagé
•
SCEP
•
terminal afin de signer des e-mails.
SCEP de signature
requis pour signer les e-mails à l'aide de S/MIME.
SCEP.
terminaux pour obtenir les certificats client requis pour signer les e-mails à l'aide de S/MIME.
de cryptage
Ce paramètre spécifie la manière dont les terminaux trouvent les certificats requis pour
crypter les messages.
Valeurs possibles :
•
Certificat partagé
•
SCEP
•
Après avoir sélectionné le type de profil, sélectionnez le profil de certificat partagé, profil SCEP
ou profil des informations d'identification de l'utilisateur que vous souhaitez utiliser.
terminal afin de crypter des e-mails.
315
Description
Les terminaux choisissent le certificat adapté au destinataire pour crypter les messages à
l'aide de S/MIME.
SCEP de cryptage
requis et crypter les e-mails à l'aide de S/MIME.
SCEP.
terminaux pour récupérer les certificats client requis et crypter les e-mails à l'aide de S/MIME.
Ce paramètre spécifie si tous les e-mails doivent être cryptés lorsque l'utilisateur les envoie
(Obligatoire), ou si l'utilisateur peut choisir les e-mails à crypter au moment où il les envoie
(Autoriser).
Valeurs possibles :
•
Requise
•
Autoriser
La valeur par défaut est Requis.
commandes MDM.
Autoriser Mail Drop
Ce paramètre spécifie si les utilisateurs peuvent envoyer des fichiers à partir de ce compte
avec Mail Drop.
commandes MDM.
316
Android : paramètres de profil de messagerie IMAP/POP3
Description
de messagerie IMAP/POP3
Préfixe de chemin IMAP
Ce paramètre spécifie le préfixe de chemin IMAP, si nécessaire.
Si nécessaire, contactez votre FAI pour plus d'informations.
sur IMAP.
Supprimer un e-mail du
serveur
Ce paramètre spécifie le moment où supprimer un e-mail du serveur de messagerie.
Valeurs possibles :
•
Jamais
•
En cas de suppression depuis la boite de réception
La valeur par défaut est Jamais.
sur POP3.
Windows : paramètres de profil de messagerie IMAP/POP3
POP3
Supprimer un e-mail du
serveur
Description
Ce paramètre spécifie comment les e-mails sont traités lorsqu'un utilisateur les supprime. Les
e-mails peuvent être supprimés du serveur (suppression physique) ou supprimés de la boîte
de réception mais conservés dans le dossier Corbeille (suppression avec récupération
possible).
Valeurs possibles :
•
Supprimer définitivement
•
Supprimer (récupération possible)
La valeur par défaut est Supprimer (récupération possible).
Ce paramètre est valide uniquement si le paramètre Type de messagerie est défini sur IMAP.
Ce paramètre est valide uniquement pour les terminaux Windows 10.
Domaine
Ce paramètre spécifie le nom de domaine du serveur de messagerie.
317
POP3
Intervalle de synchronisation
Description
Ce paramètre spécifie la fréquence à laquelle un terminal Windows télécharge du nouveau
contenu à partir du serveur de messagerie.
Valeurs possibles :
•
Manuel
•
15 minutes
•
30 minutes
•
60 minutes
•
2 heures
Montant de récupération
initial
de l'organiseur avec un terminal Windows.
Valeurs possibles :
•
Toutes
•
7 jours
•
14 jours
•
30 jours
Utiliser uniquement le réseau
cellulaire et non Wi-Fi
Ce paramètre indique si des e-mails sont envoyés et reçus uniquement sur le réseau mobile.
Ce paramètre est valide uniquement pour les terminaux Windows 10.
Paramètres du profil SCEP
personnalisées que vous définissez. Les profils SCEP sont pris en charge sur les types de terminaux suivants :
•
BlackBerry 10
•
iOS
•
OS X
318
•
Android avec Secure Work Space, Samsung KNOX et Android for Work.
•
Windows 10
correspondant à une version non prise en charge par BES12. Pour plus d'informations sur les versions de système
d'exploitation prises en charge, reportez-vous à la matrice de compatibilité.
Communs : paramètres de profil SCEP
profil SCEP
URL
Description
Ce paramètre spécifie l'URL du service SCEP. L'URL doit inclure le protocole, le FQDN, le
numéro de port et le chemin SCEP (chemin CGI défini dans la spécification SCEP). Vous devez
définir la valeur de ce paramètre pour bien activer un terminal.
Les URL HTTPS SCEP sont prises en charge par les terminaux iOS et BlackBerry 10 OS
version 10.3.0 ou ultérieure.
Nom de l'instance
Ce paramètre spécifie le nom de l'instance CA.
La valeur peut correspondre à n'importe quelle chaine comprise par le service SCEP. Par
exemple, il peut s'agir d'un nom de domaine comme exemple.org. Si une autorité de
certification dispose de plusieurs certificats d'autorité de certification, ce champ permet de
distinguer le certificat requis.
Connexion à l'autorité de
certification
Ce paramètre spécifie si l'autorité de certification est Entrust ou une autre autorité de
certification. Si vous avez configuré une ou plusieurs connexions avec le logiciel Entrust de
votre entreprise, vous pouvez sélectionner l'une des connexions dans la liste déroulante.
Sélectionnez Générique si vous utilisez une autre autorité de certification.
Si vous sélectionnez une connexion Entrust vous devez ensuite sélectionner le profil PKI
approprié et spécifier les valeurs nécessaires. Les profils disponibles varient en fonction de ce
que l'administrateur de Entrust a configuré dans le logiciel PKI.
La valeur par défaut est Générique.
Type de challenge SCEP
Ce paramètre spécifie si le mot de passe de vérification SCEP est généré de manière
dynamique ou fourni en tant que mot de passe statique. Si ce paramètre est défini sur
Statique, chaque terminal utilise le même mot de passe de vérification. Si ce paramètre est
défini sur Dynamique, chaque terminal reçoit un mot de passe de vérification unique.
Valeurs possibles :
•
Statique
•
Dynamique
319
profil SCEP
Description
La valeur par défaut est Dynamique.
Pour les terminaux Windows, seuls les mots de passe Statiques sont pris en charge.
URL de génération d'un mot
de passe de vérification
Ce paramètre spécifie l'URL utilisée par les terminaux pour obtenir un mot de passe généré de
manière dynamique à partir du service SCEP. L'URL doit inclure le protocole, le FQDN, le
numéro de port et le chemin SCEP (chemin CGI défini dans la spécification SCEP). Si vous
utilisez un mot de passe de vérification dynamique, vous devez définir une valeur pour
correctement activer les terminaux BlackBerry 10.
Ce paramètre est valide uniquement si le paramètre Type de challenge SCEP est défini sur
Dynamique.
Ce paramètre spécifie le type d'authentification utilisé par les terminaux pour se connecter au
service SCEP et obtenir un mot de passe de vérification.
Dynamique.
Valeurs possibles :
•
De base
•
NTLM
La valeur par défaut est De base.
Domaine
Ce paramètre spécifie le domaine utilisé pour l'authentification NTLM lorsque les terminaux
se connectent au service SCEP afin d'obtenir un mot de passe de vérification.
NTLM.
Nom d'utilisateur
Ce paramètre spécifie le nom d'utilisateur requis pour obtenir un mot de passe de vérification
à partir du service SCEP.
Dynamique.
Mot de passe,
Ce paramètre spécifie le mot de passe requis pour obtenir le mot de passe de vérification à
partir du service SCEP.
Dynamique.
320
profil SCEP
Mot de passe de vérification
Description
Ce paramètre spécifie le mot de passe de vérification utilisé par un terminal pour inscrire le
certificat. Si vous utilisez un mot de passe de vérification statique, vous devez définir la valeur
de ce paramètre pour bien activer les terminaux BlackBerry 10.
Statique.
BlackBerry 10 : paramètres de profil SCEP
Description
profil SCEP
Utiliser un objet par défaut de
terminal et un autre nom
d'objet
Ce paramètre spécifie si un terminal BlackBerry 10 génère l'objet et l'autre nom d'objet d'une
demande de certificat. Si ce paramètre n'est pas sélectionné, vous devez spécifier l'objet et
l'autre nom d'objet ainsi que la valeur.
Objet
Ce paramètre spécifie l'objet du certificat, si requis pour la configuration SCEP de votre
organisation. Saisissez l'objet au format « /CN=<common_name>/O=<domain_name> » Si le
profil concerne plusieurs utilisateurs, vous pouvez utiliser une variable
(%UserDistinguisedName%, par exemple).
Ce paramètre est valide uniquement si le paramètre Utiliser un objet par défaut de terminal et
un autre nom d'objet n'est pas sélectionné.
SAN
Ce paramètre spécifie le type d'autre nom d'objet et la valeur d'un certificat.
Ce paramètre est valide uniquement si le paramètre Utiliser un objet par défaut de terminal et
un autre nom d'objet n'est pas sélectionné.
Type SAN
Ce paramètre spécifie le type d'autre nom d'objet du certificat, si nécessaire.
Valeurs possibles :
•
Nom RFC 822
•
URI
•
Nom principal NT
•
Nom DNS
La valeur par défaut est Nom RFC 822.
321
Description
profil SCEP
Valeur SAN
Ce paramètre spécifie l'autre représentation de l'objet de certificat. La valeur doit
correspondre à une adresse électronique, le nom DNS du serveur CA, l'URL complète du
serveur ou le nom principal.
Le paramètre Type SAN détermine le type de valeur que vous spécifiez. Si cette option est
définie sur «Nom RFC822», la valeur doit correspondre à une adresse électronique valide. Si
cette option est définie sur « URI », la valeur doit correspondre à une URL valide incluant le
protocole et le FQDN ou l'adresse IP. Si cette option est définie sur Nom principal, la valeur
doit correspondre à un nom principal valide. Si cette option est définie sur «Nom DNS», la
valeur doit correspondre à un FQDN valide.
Algorithme de clé
Ce paramètre spécifie l'algorithme utilisé par un terminal BlackBerry 10 pour générer la paire
de clés client. Vous devez sélectionner un algorithme pris en charge par votre autorité de
certification.
Valeurs possibles :
•
Aucune
•
RSA
•
ECC
La valeur par défaut est RSA.
Puissance RSA
Ce paramètre spécifie la force BlackBerry 10 utilisée par un terminal RSA pour générer la
paire de clés client. Vous devez saisir une force de clé prise en charge par votre autorité de
certification.
Ce paramètre est valide uniquement si le paramètre Algorithme de clé est défini sur RSA.
Valeurs possibles :
•
1024
•
2048
•
4096
•
8192
•
16384
La valeur par défaut est 1 024.
Puissance ECC
Ce paramètre spécifie la courbe elliptique utilisée par un terminal BlackBerry 10 pour générer
la paire de clés client. La courbe elliptique définit la force de la paire de clés client. Vous devez
sélectionner une courbe elliptique prise en charge par votre autorité de certification.
Ce paramètre est valide uniquement si le paramètre Algorithme de clé est défini sur ECC.
322
Description
profil SCEP
Valeurs possibles :
•
sect163k1
•
sect283k1
•
secp192r1
•
secp256r1
•
secp384r1
•
secp521r1
La valeur par défaut est secp521r1.
Algorithme de cryptage
Ce paramètre spécifie l'algorithme de cryptage utilisé par un terminal BlackBerry 10 pour la
demande d'inscription de certificat.
Valeurs possibles :
•
Aucune
•
Triple DES
•
AES (128 bits)
•
AES (196 bits)
•
AES (256 bits)
La valeur par défaut est Triple DES.
Fonction de hachage
Ce paramètre spécifie la fonction de hachage utilisée par un terminal BlackBerry 10 pour la
Valeurs possibles :
•
Aucune
•
SHA-1
•
SHA-224
•
SHA-256
•
SHA-384
•
SHA-512
La valeur par défaut est SHA-1.
Empreinte de certificat
Ce paramètre spécifie le hachage codé au format hexadécimal du certificat racine de
l'autorité de certification. Vous pouvez utiliser les algorithmes suivants pour spécifier
323
Description
profil SCEP
l'empreinte : MD5, SHA-1, SHA-224, SHA-256, SHA-384 et SHA-512. Vous devez définir la
valeur de ce paramètre pour bien activer un terminal BlackBerry 10.
Renouvellement automatique
Ce paramètre spécifie le nombre de jours avant renouvellement automatique d'un certificat
qui arrive à expiration.
Les valeurs possibles sont comprises entre 1 et 999 999 999 jours.
La valeur par défaut est 30.
Utilisation de la clé
Ce paramètre spécifie les opérations cryptographiques pouvant être effectuées à l'aide de la
clé publique contenue dans le certificat.
Sélections possibles :
•
Signature numérique
•
Non-répudiation
•
Cryptage de clé
•
Cryptage de données
•
Accord de la clé
•
Signature du certificat clé
•
Signature CRL
•
Crypter uniquement
•
Décrypter uniquement
Les sélections par défaut sont Signature numérique, Cryptage de clé et Accord de la clé.
Utilisation étendue de la clé
Ce paramètre spécifie l'objectif de la clé contenue dans le certificat.
•
Authentification du serveur
•
Authentification du client
•
Signature de code
•
Protection des e-mails
•
Horodatage
•
Signature OCSP
•
Client Secure Shell
•
Serveur Secure Shell
324
Description
profil SCEP
La sélection par défaut est Authentification du client.
iOS : paramètres de profil SCEP
iOS : paramètre de profil
SCEP
Description
Utiliser BES12 comme proxy
pour les demandes SCEP
Ce paramètre spécifie si toutes les demandes SCEP des terminaux sont envoyées via BES12.
Si l'autorité de certification se situe derrière votre pare-feu, ce paramètre vous permet
d'inscrire des certificats client pour les terminaux sans exposer l'autorité de certification en
dehors du pare-feu.
Objet
Nouvelles tentatives
Ce paramètre spécifie le nombre de nouvelles tentatives de connexion au service SCEP si la
tentative de connexion échoue.
Les valeurs possibles sont comprises entre 1 et 999.
Délai de nouvelle tentative
Ce paramètre spécifie le délai d'attente, en secondes, avant une nouvelle tentative de
connexion au service SCEP.
La valeur par défaut est de 10 secondes.
Taille de la clé
Ce paramètre spécifie la taille de la clé du certificat.
Valeurs possibles :
•
1024
•
2048
Utiliser comme signature
numérique
Ce paramètre spécifie si le certificat inscrit peut être utilisé pour les signatures numériques.
325
SCEP
Description
Utiliser pour le cryptage de
clé
Ce paramètre spécifie si le certificat inscrit peut être utilisé pour le cryptage.
Empreinte
Ce paramètre spécifie l'empreinte d'inscription d'un certificat SCEP. Si votre autorité de
certification utilise HTTP plutôt que HTTPS, les terminaux utilisent l'empreinte pour confirmer
l'identité de l'autorité de certification lors du processus d'inscription. L'empreinte digitale ne
peut pas contenir d'espace.
Type SAN
Valeurs possibles :
•
Aucune
•
Nom RFC822
•
Nom DNS
•
Uniform Resource Identifier (Identificateur de ressources uniformes)
Valeur SAN
Ce paramètre spécifie l'autre représentation de l'objet du certificat. La valeur doit
correspondre à une adresse électronique, le nom DNS du serveur CA ou l'URL complète du
serveur.
Nom principal NT
Ce paramètre spécifie le Nom principal NT pour la génération du certificat.
Ce paramètre est valide uniquement si le paramètre Type SAN est défini sur un autre
paramètre que Aucun.
Renouvellement automatique Ce paramètre spécifie le nombre de jours avant renouvellement automatique d'un certificat
Les valeurs possibles sont 1 à 365.
Ce paramètre spécifie l'algorithme de cryptage utilisé par un terminal iOS pour la demande
d'inscription de certificat.
326
SCEP
Description
Valeurs possibles :
•
Aucune
•
Triple DES
•
AES (128 bits)
•
AES (196 bits)
•
AES (256 bits)
Fonction de hachage
Ce paramètre spécifie la fonction de hachage utilisée par un terminal iOS pour la demande
d'inscription de certificat.
Valeurs possibles :
•
Aucune
•
SHA-1
•
SHA-224
•
SHA-256
•
SHA-384
•
SHA-512
OS X : paramètres de profil SCEP
OS X applique les profils aux terminaux ou comptes d'utilisateur. Vous pouvez configurer un profil SCEP à appliquer à l'un ou à
l'autre.
OS X : paramètre de profil
SCEP
Description
dehors du pare-feu.
Appliquer le profil à
Ce paramètre indique si le profil SCEP est appliqué au compte d'utilisateur ou au terminal.
Valeurs possibles :
327
SCEP
Description
•
Utilisateur
•
Terminal
Objet
Taille de la clé
Valeurs possibles :
•
1024
•
2048
Empreinte
Ce paramètre spécifie l'empreinte d'inscription d'un certificat SCEP. Si votre autorité de
certification utilise HTTP plutôt que HTTPS, les terminaux utilisent l'empreinte pour confirmer
l'identité de l'autorité de certification lors du processus d'inscription. L'empreinte digitale ne
peut pas contenir d'espace.
Type SAN
Valeurs possibles :
•
Aucune
•
Nom RFC822
•
Nom DNS
•
328
SCEP
Description
Valeur SAN
serveur.
cette option est définie sur URI, la valeur doit correspondre à une URL valide incluant le
doit correspondre à un nom principal valide. Si cette option est définie sur Nom DN, la valeur
doit correspondre à un FQDN valide.
Nom principal NT
Ce paramètre est valide uniquement si le paramètre Type SAN est défini sur un autre
paramètre que Aucun.
Android : paramètres de profil SCEP
Les terminaux Android doivent être activés avec le type d'activation « Travail et Personnel - Contrôle total » ou « Travail et
Personnel - Confidentialité de l'utilisateur » pour utiliser des profils SCEP.
Pour obtenir un exemple de profil SCEP pour les terminaux Android, rendez-vous sur http://support.blackberry.com/ pour lire
l'article KB38248.
Description
SCEP
Ce paramètre spécifie l'algorithme de cryptage utilisé par un terminal Android pour la
Valeurs possibles :
•
Aucune
•
Triple DES
•
AES (128 bits)
•
AES (196 bits)
•
AES (256 bits)
329
Description
SCEP
Fonction de hachage
Ce paramètre spécifie la fonction de hachage utilisée par un terminal Android pour la
Valeurs possibles :
•
Aucune
•
SHA-1
•
SHA-224
•
SHA-256
•
SHA-384
•
SHA-512
l'empreinte : SHA-1, SHA-224, SHA-256, SHA-384 et SHA-512. Vous devez définir la valeur
de ce paramètre pour activer les terminaux utilisant Android for Work ou Samsung KNOX.
Android for Work / Samsung KNOX
Objet
organisation. Saisissez l'objet au format « /CN=<nom_commun>/O=<nom_domaine> ». Si le
profil concerne plusieurs utilisateurs, vous pouvez utiliser une variable (par
exemple, %UserDistinguisedName%).
Type SAN
Valeurs possibles :
•
Nom RFC 822
•
•
Nom principal NT
•
Nom DNS
La valeur par défaut est Nom RFC 822.
330
Description
SCEP
Valeur SAN
Ce paramètre spécifie l'autre représentation de l'objet de certificat. La valeur doit
correspondre à une adresse électronique, le nom DNS du serveur CA, l'URL complète du
serveur ou le nom principal.
Algorithme de clé
Ce paramètre spécifie l'algorithme utilisé par les terminaux Android for Work ouSamsung
KNOX pour générer la paire de clés client. Vous devez sélectionner un algorithme pris en
charge par votre autorité de certification.
Valeurs possibles :
•
Aucune
•
RSA
•
ECC
La valeur par défaut est RSA.
Puissance RSA
Ce paramètre spécifie la puissance RSA utilisée par les terminaux Android for Work ou
Samsung KNOX pour générer la paire de clés client. Vous devez saisir une force de clé prise en
charge par votre autorité de certification.
Ce paramètre est valide uniquement si le paramètre Algorithme de clé est défini sur RSA.
Valeurs possibles :
•
1024
•
2048
•
4096
•
8192
•
16384
331
Description
SCEP
•
•
Non-répudiation
•
Cryptage de clé
•
•
Accord de la clé
•
•
Signature CRL
•
Crypter uniquement
•
Décrypter uniquement
•
•
•
Signature de code
•
•
Horodatage
•
Signature OCSP
•
Client Secure Shell
•
Secure Work Space
dehors du pare-feu.
Objet (Secure Work Space)
332
Description
SCEP
Taille de la clé
Valeurs possibles :
•
1024
•
2048
•
4096
•
8192
•
16384
Utiliser comme signature
numérique
Ce paramètre spécifie si le certificat inscrit peut être utilisé pour les signatures numériques.
Utiliser pour le cryptage de
clé
Ce paramètre spécifie si le certificat inscrit peut être utilisé pour le cryptage.
Type SAN
Valeurs possibles :
•
Aucune
•
Nom RFC 822
•
Nom DNS
•
333
Description
SCEP
Valeur SAN
serveur.
Le paramètre Autre nom d'objet affecte ce paramètre. La valeur appropriée pour ce
paramètre dépend de la valeur sélectionnée pour le paramètre Type SAN.
Nom principal NT
Le paramètre Autre nom d'objet affecte ce paramètre. La valeur appropriée pour ce
paramètre dépend de la valeur sélectionnée pour le paramètre Type SAN.
Windows 10 : paramètres de profil SCEP
Windows 10 : paramètre de
profil SCEP
Description
Objet
Type SAN
Valeurs possibles :
•
Aucune
•
Nom RFC 822
•
Nom DNS
•
Valeur SAN
serveur.
La valeur appropriée pour ce paramètre dépend de la valeur sélectionnée pour le paramètre
Type SAN.
334
profil SCEP
Description
Taille de la clé
Valeurs possibles :
•
1024
•
2048
•
4096
•
8192
•
16384
•
•
Non-répudiation
•
Cryptage de clé
•
•
Accord de la clé
•
•
Signature CRL
•
Crypter uniquement
•
•
335
profil SCEP
Description
•
Signature de code
•
•
Horodatage
•
Signature OCSP
•
Client Secure Shell
•
Fonction de hachage
Ce paramètre spécifie la fonction de hachage utilisée par un terminal Windows 10 pour la
Valeurs possibles :
•
SHA-1
•
SHA-224
•
SHA-256
•
SHA-384
•
SHA-512
l'empreinte : SHA-1, SHA-224, SHA-256, SHA-384 et SHA-512.
Paramètres du profil Wi-Fi
personnalisées que vous définissez.Les profilsWi-Fisont pris en charge sur les types de terminaux suivants :
336
•
BlackBerry 10
•
iOS
•
OS X
•
Android
•
Windows
Communs : paramètres de profil Wi-Fi
profil Wi-Fi
SSID
Description
Ce paramètre spécifie le nom d'un réseau Wi-Fi et ses points d'accès sans fil. Le SSID est
sensible à la casse et doit contenir des caractères alphanumériques.
Les valeurs possibles sont limitées à 32 caractères.
Réseau masqué
Ce paramètre spécifie si le réseau Wi-Fi masque le SSID.
BlackBerry 10 : paramètres de profil Wi-Fi
Description
profil Wi-Fi
Type de sécurité
Ce paramètre indique le type de sécurité utilisé par le réseau Wi-Fi.
Valeurs possibles :
•
Aucune
•
WEP personnel
•
WPA personnel
•
WPA entreprise
•
WPA2-Personal
•
WPA2 entreprise
337
Description
profil Wi-Fi
Clé WEP
Ce paramètre spécifie la clé WEP du réseau Wi-Fi. La clé WEP doit contenir 10 ou
26 caractères hexadécimaux (0-9, A-F) ou 5 ou 13 caractères alphanumériques (0-9, A-Z).
Exemples de valeurs de clés hexadécimales : ABCDEF0123 ou
ABCDEF0123456789ABCDEF0123. Exemples de valeurs de clés alphanumériques : abCD5
ou abCDefGHijKL1.
Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WEP
personnel.
Type de clé pré-partagée
Ce paramètre spécifie le type de clé pré-partagée du réseau Wi-Fi.
Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini WPA personnel
ou WPA2-Personal.
Valeurs possibles :
•
ASCII
•
HEX
La valeur par défaut est ASCII.
Clé pré-partagée
Ce paramètre spécifie la clé pré-partagée du réseau Wi-Fi.
ou WPA2-Personal.
Les valeurs possibles sont limitées à 64 caractères.
Protocole d'authentification
Ce paramètre spécifie la méthode EAP utilisée par le réseau Wi-Fi.
Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini WPA
entreprise ou WPA2 entreprise.
Valeurs possibles :
•
PEAP
•
TTLS
•
EAP-FAST
•
TLS
La valeur par défaut est PEAP.
Authentification interne
Ce paramètre spécifie la méthode d'authentification interne utilisée avec un tunnel TLS.
Si vous souhaitez utiliser PAP pour l'authentification interne, définissez ce paramètre sur Auto.
338
Description
profil Wi-Fi
Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur
PEAP ou TTLS.
Valeurs possibles :
•
Auto
•
MS-CHAPv2
•
GTC
La valeur par défaut est Auto.
Méthode de déploiement
EAP-FAST
Ce paramètre spécifie la méthode de déploiement pour l'authentification EAP-FAST.
EAP-FAST.
Valeurs possibles :
•
Anonyme
•
Authentifié
La valeur par défaut est Anonyme.
Nom d'utilisateur
Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal BlackBerry 10 pour
s'authentifier auprès du réseau Wi-Fi. Si le profil concerne plusieurs utilisateurs, vous pouvez
utiliser la variable %UserName%.
PEAP, TTLS, EAP-FAST ou TLS.
Mot de passe,
Ce paramètre spécifie le mot de passe utilisé par un terminal BlackBerry 10 pour
s'authentifier auprès du réseau Wi-Fi.
PEAP, TTLS ou EAP-FAST.
Type de bande
Ce paramètre spécifie la bande de fréquence utilisée par le réseau Wi-Fi.
Valeurs possibles :
•
Dual
•
2,4 GHz
•
5,0 GHz
La valeur par défaut est Dual.
339
Description
profil Wi-Fi
Activer DHCP
Ce paramètre spécifie si le réseau Wi-Fi utilise le DHCP.
Adresse IP
Ce paramètre spécifie l'adresse IP de l'hôte pour le réseau Wi-Fi.
Ce paramètre est valide uniquement si le paramètre Activer DHCP n'est pas sélectionné.
Masque de sous-réseau
Ce paramètre spécifie le masque de sous-réseau au format décimal séparé par des points (par
exemple, 192.0.2.0).
DNS primaire
Ce paramètre spécifie le serveur DNS primaire au format décimal séparé par des points (par
exemple, 192.0.2.0).
DNS secondaire
Ce paramètre spécifie le serveur DNS secondaire au format décimal séparé par des points
(par exemple, 192.0.2.0).
Passerelle par défaut
Ce paramètre spécifie la passerelle par défaut au format décimal séparé par des points (par
exemple, 192.0.2.0).
Suffixe de domaine
Ce paramètre spécifie l'FQDN du suffixe DNS.
Activer IPv6
Ce paramètre spécifie si le réseau Wi-Fi prend en charge IPv6.
Activer le transfert entre
points d'accès
Ce paramètre indique si un terminal BlackBerry 10 peut effectuer des transferts de Wi-Fi entre
des points d'accès sans fil.
Modifiable par l'utilisateur
Ce paramètre spécifie les paramètres Wi-Fi qu'un utilisateur de terminal BlackBerry 10 peut
modifier. Si ce paramètre est défini sur Lecture seule, l'utilisateur ne peut pas modifier les
paramètres. Si ce paramètre est défini sur Informations d'identification uniquement,
l'utilisateur peut modifier le nom d'utilisateur et le mot de passe.
Valeurs possibles :
•
Lecture seule
•
Informations d'identification uniquement
La valeur par défaut est Lecture seule.
340
Description
profil Wi-Fi
Niveau de sécurité des
données
Ce paramètre spécifie le domaine de l'espace Travail où le profil Wi-Fi est stocké lorsque
l'espace Travail utilise la protection avancée des données inactives. Ce paramètre est
uniquement valide si la règle de stratégie informatique « Appliquer la protection avancée des
données inactives » est sélectionnée. Si ce paramètre est défini sur Toujours disponible, le
profil est stocké dans le domaine de démarrage et disponible lorsque l'espace Travail est
verrouillé. Si ce paramètre est défini sur Disponible après authentification, le profil est stocké
dans le domaine opérationnel et disponible lorsque l'espace Travail est déverrouillé une fois
jusqu'à ce que le terminal redémarre. Si ce paramètre est défini sur Disponible uniquement
lorsque l'espace Travail est déverrouillé, le profil est stocké dans le domaine de verrouillage et
peut être utilisé pour les connexionsWi-Fi uniquement lorsque l'espace Travail est déverrouillé.
Valeurs possibles :
•
Toujours disponible
•
Disponible après authentification
•
Disponible uniquement lorsque l'espace Travail est déverrouillé
La valeur par défaut est Toujours disponible.
Imposer TLS 1.2
Ce paramètre indique si les terminaux BlackBerry 10 doivent utiliser TLS 1.2 pour la
communication sur le réseau Wi-Fi.
Valeurs possibles :
•
O
•
I
La valeur par défaut est « Off ».
Se fier
Source du certificat client
Ce paramètre spécifie la manière dont les terminaux BlackBerry 10 obtiennent le certificat
client. Quatre options permettent aux terminaux d'obtenir des certificats client :
•
Si vous choisissez SCEP, vous devez également spécifier le profil SCEP associé que le
terminal peut utiliser pour télécharger le certificat client.
•
Si vous choisissez Informations d'identification de l'utilisateur, vous devez également
spécifier le profil des informations d'identification de l'utilisateur associé que le terminal
peut utiliser pour télécharger le certificat client.
341
Description
profil Wi-Fi
•
Si vous choisissez Carte à puce, l'utilisateur doit coupler le terminal avec une carte à
puce contenant le certificat client.
•
Si vous choisissez Autre, l'utilisateur doit manuellement ajouter le certificat client au
terminal.
Les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure prennent en charge la
carte à puce.
Valeurs possibles :
•
Carte à puce
•
SCEP
•
•
Autre
La valeur par défaut est Autre.
Ce paramètre spécifie le profil SCEP associé utilisé par un BlackBerry 10 terminal pour
inscrire un certificat client et s'authentifier auprès du réseau Wi-Fi.
Ce paramètre est valide uniquement si le paramètre Source du certificat client est défini sur
SCEP.
d'identification de l'utilisateur par un terminal BlackBerry 10 pour inscrire un certificat client et s'authentifier auprès du
associé
réseau Wi-Fi.
La configuration minimale pour utiliser un profil des informations d'identification de
l'utilisateur est BlackBerry 10 OS version 10.3.1.
Source du certificat approuvé Ce paramètre spécifie la source du certificat approuvé. Si ce paramètre est défini sur Magasin
de certificats approuvé, le terminal BlackBerry 10 peut se connecter à un réseau Wi-Fi
utilisant un certificat du magasin de certificats Wi-Fi.
Valeurs possibles :
•
Aucune
•
Magasin de certificats approuvés
Profils associés
342
Description
profil Wi-Fi
Utiliser un profil de
connectivité d'entreprise avec
une connexion BlackBerry
Secure Connect Plus pour les
Ce paramètre spécifie si tout le trafic de l'espace Travail est dirigé via BlackBerry Secure
Connect Plus, y compris lorsque les terminaux BlackBerry 10 peuvent accéder au réseau WiFi professionnel. Si ce paramètre n'est pas sélectionné, lorsque vous configurez un profil WiFiet l'attribuez aux terminaux BlackBerry 10, les terminaux classent par ordre de priorité le
réseau Wi-Fi professionnel au-dessus de BlackBerry Secure Connect Plus pour le trafic de
l'espace Travail.
Si vous souhaitez utiliser cette fonctionnalité, dans la stratégie informatique attribuée aux
utilisateurs de terminaux BlackBerry 10, vérifiez que la règle de stratégie informatique Forcer
le contrôle d'accès au réseau pour les applications professionnelles n'est pas sélectionnée.
Ce paramètre peut avoir une incidence sur l'utilisation des données de votre entreprise et les
frais de réseau. Vérifiez qu'il s'agit de la configuration privilégiée par votre entreprise avant
d'utiliser cette fonctionnalité.
Profil VPN associé
Ce paramètre spécifie le profil VPN associé utilisé par un terminal BlackBerry 10 pour se
connecter à un réseau VPN lorsque le terminal est connecté au réseau Wi-Fi.
Profil proxy associé
Ce paramètre spécifie le profil proxy associé utilisé par un terminal BlackBerry 10 pour se
connecter à un serveur proxy lorsque le terminal est connecté au réseau Wi-Fi.
: paramètres de profil iOSOS XWi-Fi
OS X applique les profils aux terminaux ou comptes d'utilisateur. Vous pouvez configurer un profil Wi-Fi à appliquer à l'un ou à
l'autre.
iOSetOS X: Wi-Fi : paramètre
Description
de profil
Rejoindre automatiquement le Ce paramètre spécifie si un terminal peut automatiquement rejoindre le réseau Wi-Fi.
réseau
Ce paramètre indique si le profil Wi-Fi est appliqué au compte d'utilisateur ou au terminal.
Valeurs possibles :
•
Utilisateur
•
Terminal
Ce paramètre est valide uniquement pour OS X.
343
Description
de profil
Ce paramètre spécifie le profil proxy associé utilisé par un terminal pour se connecter à un
serveur proxy lorsque le terminal est connecté au réseau Wi-Fi.
Type de réseau
Ce paramètre spécifie la configuration du réseau Wi-Fi.
Les configurations de points d'accès s'appliquent uniquement aux terminaux.iOSOS X Pour
configurer les paramètres Wi-Fi des terminaux BlackBerry, Android et Windows Phone, créez
un profil Wi-Fi distinct.
Valeurs possibles :
•
Standard
•
Point d'accès hérité
•
Hotspot 2.0
La valeur par défaut est Standard.
Nom de l'opérateur affiché
Ce paramètre spécifie le nom convivial de l'opérateur de points d'accès.
Ce paramètre est valide uniquement si le paramètre Type de réseau est défini sur Hotspot 2.0.
Nom de domaine
Ce paramètre spécifie le nom de domaine de l'opérateur de points d'accès.
Le paramètre SSID n'est pas requis lorsque vous utilisez ce paramètre.
Identifiants d'entreprise des
consortiums d'itinérance
Ce paramètre spécifie les identifiants d'entreprise des consortiums d'itinérance et
fournisseurs de services agissant en tant que partenaires d'itinérance de l'opérateur de points
d'accès.
Noms de domaine NAI
Ce paramètre spécifie les noms de domaine de l'identifiant d'accès réseau capables
d'authentifier un terminal iOS.
MCC/MNC
Ce paramètre spécifie les combinaisons MCC et MNC qui identifient les opérateurs de réseaux
mobiles. Chaque valeur doit contenir six chiffres.
Autoriser la connexion aux
réseaux des partenaires
d'itinérance
Ce paramètre spécifie si un terminal peut se connecter aux partenaires d'itinérance pour le
point d'accès.
344
Description
de profil
Type de sécurité
Si le paramètre Type de réseau est défini sur Hotspot 2.0, ce paramètre est défini sur WPA2
entreprise.
Valeurs possibles :
•
Aucune
•
WEP personnel
•
WEP Enterprise
•
WPA personnel
•
WPA entreprise
•
WPA2-Personal
•
WPA2 entreprise
Clé WEP
ou abCDefGHijKL1.
personnel.
Clé pré-partagée
ou WPA2-Personal.
Protocoles
Ce paramètre spécifie la méthode EAP prise en charge par le réseau Wi-Fi. Vous pouvez
sélectionner plusieurs méthodes EAP.
Enterprise, WPA entreprise ou WPA2 entreprise.
•
TLS
•
TTLS
345
Description
de profil
•
LEAP
•
PEAP
•
EAP-FAST
•
EAP-SIM
Ce paramètre indique la méthode d'authentification interne à utiliser avec TTLS.
TTLS.
Valeurs possibles :
•
Aucune
•
PAP
•
CHAP
•
MS-CHAP
•
MS-CHAPv2
•
EAP
La valeur par défaut est MS-CHAPv2.
Utiliser PAC
Ce paramètre spécifie si la méthode EAP-FAST utilise des informations d'accès protégé (PAC).
EAP-FAST.
Déployer PAC
Ce paramètre spécifie si la méthode EAP-FAST permet un déploiement PAC.
EAP-FAST et si le paramètre Utiliser PAC est sélectionné.
Déployer PAC anonymement
Ce paramètre spécifie si la méthode EAP-FAST permet un déploiement PAC anonyme.
Utiliser PAC et si le paramètre Déployer PAC est sélectionné.
Authentification
Identité externe pour TTLS,
PEAP et EAP-FAST
Ce paramètre spécifie l'identité externe d'un utilisateur envoyée en clair. Vous pouvez
spécifier un nom d'utilisateur anonyme pour masquer l'identité réelle de l'utilisateur (par
exemple, anonyme). Le tunnel crypté est utilisé pour envoyer le nom d'utilisateur réel à des
fins d'authentification auprès du réseau Wi-Fi. Si l'identité externe comprend le nom de
346
Description
de profil
domaine pour l'acheminement de la demande, il doit correspondre au domaine réel de
l'utilisateur (par exemple, [email protected]).
TTLS, PEAP ou EAP-FAST.
Utiliser le mot de passe inclus Ce paramètre spécifie si le profil Wi-Fi inclut le mot de passe à des fins d'authentification.
dans le profil Wi-Fi
Mot de passe,
Ce paramètre spécifie le mot de passe utilisé par un terminal iOS pour s'authentifier auprès du
réseau Wi-Fi.
Ce paramètre est valide uniquement si le paramètre Utiliser le mot de passe inclus dans le
profil Wi-Fi est sélectionné.
Nom d'utilisateur
Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal iOS pour s'authentifier
auprès du réseau Wi-Fi. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la
variable %UserName%.
Ce paramètre spécifie le type d'authentification utilisé par un terminal pour se connecter au
réseau Wi-Fi.
Valeurs possibles :
•
Aucune
•
Certificat partagé
•
SCEP
•
Type de liaison de certificat
Ce paramètre spécifie le type de liaison du certificat client associé au profil Wi-Fi.
Valeurs possibles :
347
Description
de profil
•
Référence unique
•
Injection de variable
La valeur par défaut est Référence unique.
Ce paramètre spécifie le profil de certificat partagé avec le certificat client utilisé par un
terminal pour s'authentifier auprès du réseau Wi-Fi.
Ce paramètre est valide uniquement si le paramètre Type de liaison de certificat est défini sur
Référence unique.
Nom du certificat client
Ce paramètre spécifie le nom du certificat client utilisé par un terminal pour s'authentifier
auprès du réseau Wi-Fi.
Ce paramètre est valide uniquement si le paramètre Type de liaison de certificat est définir sur
Injection de variable.
Ce paramètre spécifie le profil SCEP associé utilisé par un terminal pour obtenir un certificat
client et s'authentifier auprès du réseau Wi-Fi.
SCEP.
Ce paramètre spécifie le profil d'informations d'identification de l'utilisateur associé utilisé par
d'identification de l'utilisateur un terminal pour obtenir un certificat client et s'authentifier auprès du réseau Wi-Fi.
associé
Se fier
Noms usuels de certificat
attendus par le serveur
d'authentification
Ce paramètre spécifie les noms usuels du certificat envoyés par le serveur d'authentification
au terminal (par exemple, * .exemple.com).
Ce paramètre spécifie le type de liaison des certificats client associés au profil Wi-Fi.
Valeurs possibles :
•
Référence unique
•
348
Description
de profil
Profils de certificat d'autorité
de certification
Ce paramètre spécifie les profils de certificat d'autorité de certification avec les certificats
approuvés utilisés par un terminal pour établir une connexion approuvée au réseau Wi-Fi.
Référence unique.
Noms de certificats
approuvés
Ce paramètre spécifie les noms des certificats approuvés utilisés par un terminal pour établir
une connexion approuvée au réseau Wi-Fi.
Faire confiance aux décisions
d'utilisateur
Ce paramètre spécifie si un terminal doit inviter l'utilisateur à approuver un serveur lorsque la
chaine d'approbation ne peut pas être établie. Si ce paramètre n'est pas sélectionné, seules
les connexions aux serveurs approuvés que vous spécifiez sont autorisées.
Android : paramètres de profil Wi-Fi
Description
Wi-Fi
Ce paramètre spécifie le profil proxy associé utilisé par un terminal Android for Work pour se
connecter à un serveur proxy lorsque le terminal est connecté au réseau Wi-Fi.
BSSID
Ce paramètre spécifie l'adresse MAC du point d'accès sans fil du réseau Wi-Fi.
DNS primaire
exemple, 192.0.2.0).
Ce paramètre s'applique uniquement aux terminaux utilisant Samsung KNOX lorsque
l'adresse IP est attribuée de façon statique par le réseau de l'entreprise.
DNS secondaire
Ce paramètre s'applique uniquement aux terminaux utilisant Samsung KNOX lorsque
l'adresse IP est attribuée de façon statique par le réseau de l'entreprise.
349
Description
Wi-Fi
Type de sécurité
Valeurs possibles :
•
Aucune
•
Personnel
•
Entreprise
Type de sécurité personnelle
Ce paramètre indique le type de sécurité personnelle utilisé par le réseau Wi-Fi.
Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur
Personnelle.
Valeurs possibles :
•
Aucune
•
WEP personnel
•
WPA personnel/WPA2-Personal
Clé WEP
ou abCDefGHijKL1.
Ce paramètre est valide uniquement si le paramètre Type de sécurité personnelle est défini
sur WEP personnel.
Clé pré-partagée
Ce paramètre est valide uniquement si le paramètre Type de sécurité personnelle est défini
sur WPA personnel/WPA2-Personal.
Ce paramètre spécifie la méthode EAP utilisée par le réseau Wi-Fi.
Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur Entreprise.
Valeurs possibles :
•
TLS
•
TTLS
350
Description
Wi-Fi
•
PEAP
•
LEAP*
La valeur par défaut est TLS.
* Le protocole d'authentification n'est pas pris en charge par les terminaux utilisant Samsung
KNOX.
Ce paramètre indique la méthode d'authentification interne à utiliser avec TTLS.
TTLS.
Valeurs possibles :
•
Aucune
•
PAP
•
CHAP*
•
MS-CHAP
•
MS-CHAPv2
•
GTC
* Le méthode d'authentification interne n'est pas prise en charge par les terminaux utilisant
Samsung KNOX.
Identité Externe pour TTLS
TTLS.
Identité Externe pour PEAP
351
Description
Wi-Fi
PEAP.
Nom d'utilisateur
Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal Android pour s'authentifier
auprès du réseau Wi-Fi. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la
Utiliser le mot de passe inclus Ce paramètre spécifie si le profil Wi-Fi inclut le mot de passe à des fins d'authentification.
dans le profil Wi-Fi
Mot de passe,
Ce paramètre spécifie le mot de passe utilisé par un terminal Android pour s'authentifier
auprès du réseau Wi-Fi.
Ce paramètre est valide uniquement si le paramètre Utiliser le mot de passe inclus dans le
profil Wi-Fi est sélectionné.
Ce paramètre spécifie le type d'authentification utilisé par un terminal Android pour se
connecter au réseau Wi-Fi.
Valeurs possibles :
•
Aucune
•
Certificat partagé
•
SCEP
•
Ce paramètre spécifie le type de liaison du certificat client associé au profil Wi-Fi.
Valeurs possibles :
•
Référence unique
•
352
Description
Wi-Fi
terminal Android pour s'authentifier auprès du réseau Wi-Fi.
Référence unique.
Le nom du profil de certificat partagé doit contenir moins de 36 caractères pour les terminaux
utilisant un KNOX Workspace.
Ce paramètre spécifie le profil SCEP associé utilisé par un terminal Android pour obtenir un
certificat client et s'authentifier auprès du réseau Wi-Fi.
SCEP.
Le nom du profil SCEP doit contenir moins de 36 caractères pour les terminaux utilisant un
KNOX Workspace.
Ce paramètre spécifie le profil d'informations d'identification de l'utilisateur associé utilisé par
d'identification de l'utilisateur un terminal Android pour obtenir un certificat client et s'authentifier auprès du réseau Wi-Fi.
associé
Le nom du profil d'informations d'identification doit contenir moins de 36 caractères pour les
terminaux utilisant un KNOX Workspace.
Nom du certificat client
Ce paramètre spécifie le nom du certificat client utilisé par un terminal Android pour
s'authentifier auprès du réseau Wi-Fi.
Noms usuels de certificat
attendus par le serveur
d'authentification
Ce paramètre spécifie les noms usuels du certificat envoyés par le serveur d'authentification
au terminal (par exemple, * .exemple.com).
Ce paramètre spécifie le type de liaison des certificats client associés au profil Wi-Fi.
Valeurs possibles :
•
Référence unique
•
353
Description
Wi-Fi
Profil du certificat d'autorité
de certification
Ce paramètre spécifie le profil de certificat d'autorité de certification avec le certificat client
utilisé par un terminal Android pour établir une connexion approuvée au réseau Wi-Fi.
Référence unique.
Noms de certificats
approuvés
Ce paramètre spécifie les noms des certificats approuvés utilisés par un terminal Android pour
établir une connexion approuvée au réseau Wi-Fi.
Windows : paramètres de profil Wi-Fi
profil Wi-Fi
Description
Type de sécurité
Valeurs possibles :
•
Ouvert
•
WPA entreprise
•
WPA personnel
•
WPA2 entreprise
•
WPA2-Personal
La valeur par défaut est Ouvert.
Type de cryptage
Ce paramètre spécifie la méthode de cryptage utilisée par le réseau Wi-Fi.
Le paramètre Type de sécurité détermine les types d'authentification pris en charge et la
valeur par défaut de ce paramètre.
Valeurs possibles :
•
Aucune
•
WEP
•
TKIP
•
AES
354
profil Wi-Fi
Clé WEP
Description
ou abCDefGHijKL1.
Clé pré-partagée
Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur WPA
personnel.
Index de clé
Ce paramètre spécifie la position de la clé correspondante stockée sur le point d'accès sans
fil.
Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur Ouvert et le
paramètre Type de cryptage sur WEP.
Activer l'identification unique
Ce paramètre spécifie si le réseau Wi-Fi prend en charge l'authentification avec identification
unique.
Type d'identification unique
Ce paramètre spécifie le moment où l'authentification avec identification unique intervient.
Lorsque ce paramètre est défini sur Exécuter immédiatement avant la connexion d'utilisateur,
l'identification unique est exécutée avant que l'utilisateur se connecte à l'instance Active
Directory de votre organisation. Lorsque ce paramètre est défini sur Exécuter immédiatement
après la connexion d'utilisateur, l'identification unique est exécutée après que l'utilisateur se
connecte à l'instance Active Directory de votre organisation.
Ce paramètre est valide uniquement si le paramètre Activer VPN à la demande est
sélectionné.
Valeurs possibles :
•
Exécuter immédiatement avant la connexion d'utilisateur
•
Exécuter immédiatement après la connexion d'utilisateur
La valeur par défaut est Exécuter immédiatement avant la connexion d'utilisateur.
Délai de connectivité
maximum
Ce paramètre spécifie, en secondes, le délai maximum avant que la tentative de connexion
avec identification unique échoue.
355
profil Wi-Fi
Description
sélectionné.
Les valeurs possibles sont comprises entre 0 et 120 secondes.
Autoriser l'affichage de boites Ce paramètre indique si un terminal peut afficher des boites de dialogue au-delà de l'écran de
de dialogue supplémentaires connexion. Par exemple, si un type d'authentification EAP nécessite que l'utilisateur confirme
lors de l'identification unique le certificat envoyé par le serveur lors de l'authentification, le terminal peut afficher la boite de
dialogue.
sélectionné.
Ce réseau utilise des réseaux
LAN virtuels pour
l'authentification de
l'ordinateur et de l'utilisateur
Ce paramètre spécifie si le réseau VLAN utilisé par un terminal change en fonction des
informations de connexion de l'utilisateur Par exemple, si le terminal se trouve sur un réseau
VLAN lorsqu'il démarre, puis - selon les autorisations utilisateur - passe sur un autre réseau
VLAN après que l'utilisateur se connecte.
sélectionné.
Valider le certificat du serveur Ce paramètre spécifie si un terminal doit valider le certificat du serveur qui vérifie l'identité du
point d'accès sans fil.
Ne pas inviter l'utilisateur à
autoriser de nouveaux
serveurs ou des autorités de
certification approuvées
Profils de certificat d'autorité
de certification
Ce paramètre spécifie si un utilisateur est invité à approuvé le certificat du serveur.
Ce paramètre est valide uniquement si le paramètre Valider le certificat du serveur est
sélectionné.
Ce paramètre spécifie le profil de certificat d'autorité de certification fournissant la racine
approuvée pour le certificat du serveur utilisé par le point d'accès sans fil.
Ce paramètre limite les autorités de certification racine que les terminaux approuvent avec les
autorités de certification sélectionnées. Si vous ne sélectionnez aucune autorité de
certification racine approuvée, les terminaux approuvent toutes les autorités de certification
racine de leur magasin d'autorités de certification racine approuvées.
Ce paramètre est valide uniquement si le paramètre Valider le certificat du serveur est
sélectionné.
356
profil Wi-Fi
Activer la reconnexion rapide
Description
Ce paramètre spécifie si le réseau Wi-Fi prend en charge la reconnexion rapide à des fins
d'authentification PEAP sur plusieurs points d'accès sans fil.
Appliquer la protection NAP
Ce paramètre spécifie si le réseau Wi-Fi utilise la protection NAP pour contrôler l'intégrité du
système sur les terminaux et vérifier s'ils répondent aux exigences d'intégrité avant d'être
autorisés à se connecter au réseau.
Activer la mise en cache du
PMK
Ce paramètre spécifie si un terminal peut mettre en cache le PMK pour activer l'itinérance
rapide WPA2. L'itinérance rapide ignore les paramètres 802.1X avec un point d'accès sans fil
auprès duquel le terminal s'est précédemment authentifié.
Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WPA2Enterprise.
Durée de vie du PMK
Ce paramètre spécifie la durée, en minutes, pendant laquelle un terminal peut stocker le PMK
dans le cache.
Les valeurs possibles sont comprises entre 10 et 1440 minutes.
Nombre d'entrées du cache
du PMK
Ce paramètre spécifie le nombre maximum d'entrées du PMK qu'un terminal peut stocker
dans le cache.
Ce réseau utilise la préauthentification
Ce paramètre spécifie si le point d'accès prend en charge la pré-authentification pour
l'itinérance rapide WPA2.
La pré-authentification permet aux terminaux de se connecter à un point d'accès sans fil pour
utiliser les paramètres 802.1X avec d'autres points d'accès sans fil à portée. La préauthentification stocke le PMK et les informations qui s'y rapportent dans le cache du PMK.
Lorsque le terminal se connecte à un point d'accès sans fil auprès duquel il s'est préauthentifié, il utilise les informations mises en cache dans le PMK pour réduire le délai
d'authentification et de connexion.
357
profil Wi-Fi
Description
Tentatives de préauthentification maximum
Ce paramètre spécifie le nombre maximum de tentatives de pré-authentification autorisées.
Ce paramètre est valide uniquement si le paramètre Ce réseau utilise une pré-authentification
est sélectionné.
Proxy
This setting specifies the server name and port for the network proxy. Use the format host:port
(for example, server01.example.com:123). The host must be one of the following:
•
un nom enregistré (ex.: nom de serveur), un nom de domaine complet ou un nom
d'étiquette unique (par exemple, serveur01 au lieu de serveur01.exemple.com)
•
une adresse IPv4 ou IPv6
Ce paramètre s'applique uniquement aux terminaux Windows 10 Mobile.
Paramètres du profil VPN
personnalisées que vous définissez. Les profils VPN sont pris en charge sur les types de terminaux suivants :
•
BlackBerry 10
•
iOS
•
OS X
•
•
Windows 10
358
BlackBerry 10 : paramètres de profil VPN
Description
profil VPN
Adresse du serveur
Ce paramètre spécifie le FQDN ou l'adresse IP d'un serveur VPN.
Type de passerelle
Ce paramètre indique le type de client VPN que le client VPN d'un terminal BlackBerry 10
émule.
Valeurs possibles :
•
Check Point VPN-1
•
Cisco VPN 3000 Series Concentrator
•
Cisco Secure PIX Firewall
•
Cisco IOS Easy VPN
•
Cisco ASA Series
•
Cisco AnyConnect
•
Juniper série SRX (VPN IPsec)
•
Juniper série MAG ou Juniper série SA (VPN SSL)
•
Serveur Microsoft VPN IKEv2
•
Serveur générique VPN IKEv2
La valeur par défaut est Check Point VPN-1.
Ce paramètre spécifie le type d'authentification de la passerelle VPN.
Le paramètre Type de passerelle détermine les types d'authentification pris en charge et la
Valeurs possibles :
Clé pré-partagée ou mot de
passe de groupe
•
PSK
•
PKI
•
XAUTH-PSK
•
XAUTH-PKI
•
EAP-TLS
•
EAP-MS-CHAPv2
Ce paramètre spécifie la clé pré-partagée ou le mot de passe de groupe pour la passerelle
VPN.
359
Description
profil VPN
Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur PSK
ou XAUTH-PSK.
Nom d'utilisateur
Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal BlackBerry 10 pour
s'authentifier auprès de la passerelle VPN. Si le profil concerne plusieurs utilisateurs, vous
pouvez utiliser la variable %UserName%.
Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Cisco
AnyConnect ou si le paramètre Type d'authentification est défini sur XAUTH-PSK ou XAUTHPKI.
Jeton physique
Ce paramètre spécifie si un utilisateur doit utiliser un jeton physique pour s'authentifier auprès
de la passerelle VPN.
XAUTH-PSK ou XAUTH-PKI.
Mot de passe,
Ce paramètre spécifie le mot de passe utilisé par un BlackBerry 10 pour s'authentifier auprès
de la passerelle VPN.
AnyConnect ou si le paramètre Type d'authentification est défini sur XAUTH-PSK ou XAUTHPKI et que le paramètre Jeton physique n'est pas sélectionné.
Identité EAP
Ce paramètre spécifie l'identité EPA utilisée par un terminal BlackBerry 10 pour s'authentifier
auprès de la passerelle VPN.
EAP-TLS.
Identité MS-CHAPv2 EAP
Ce paramètre spécifie l'identité MS-CHAPv2 EAP utilisée par un terminal BlackBerry 10 pour
s'authentifier auprès de la passerelle VPN.
EAP-MS-CHAPv2.
Nom d'utilisateur MSCHAPv2
Ce paramètre spécifie l'identité MS-CHAPv2 utilisée par un terminal BlackBerry 10 pour
EAP-MS-CHAPv2.
Mot de passe MS-CHAPv2
Ce paramètre spécifie le mot de passe MS-CHAPv2 utilisé par un terminal BlackBerry 10 pour
360
Description
profil VPN
EAP-MS-CHAPv2.
Type d'ID d'authentification
Ce paramètre spécifie le type d'ID d'authentification de la passerelle VPN.
Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Juniper
série MAG ou Juniper série SA (VPN SSL), serveur VPN IKEv2 Microsoft, serveur VPN
générique IKEv2 ou serveur VPN IKEv2 conforme NIAP.
Le paramètre Type de passerelle détermine les types d'ID d'authentification pris en charge et
la valeur par défaut de ce paramètre.
Valeurs possibles :
ID d'authentification ou nom
de groupe
Type d'authentification de
passerelle
•
IPv4
•
Nom de domaine complet
•
Adresse e-mail,
•
Nom distinctif du certificat d'identité
•
Nom général du certificat d'identité
Ce paramètre spécifie l'ID d'authentification ou le nom de groupe pour la passerelle VPN.
série MAG ou Juniper série SA (VPN SSL), serveur VPN IKEv2 Microsoft ou serveur VPN
générique IKEv2 ou si le paramètre Type d'authentification est défini sur PSK ou XAUTH-PSK.
générique IKEv2.
Valeurs possibles :
•
Aucune
•
PSK
•
PKI
Clé pré-partagée de
passerelle
Ce paramètre spécifie la clé pré-partagée de la passerelle VPN.
Ce paramètre est valide uniquement si le paramètre Type d'authentification de passerelle est
défini sur PSK.
361
Description
profil VPN
Type d'ID d'authentification
de passerelle
Ce paramètre spécifie l'ID d'authentification de la passerelle VPN.
générique IKEv2.
Valeurs possibles :
•
IPv4
•
•
Adresse e-mail,
•
Nom distinctif du certificat d'identité
•
Nom général du certificat d'identité
La valeur par défaut est IPv4.
ID d'authentification de
passerelle
Ce paramètre spécifie l'ID d'authentification de la passerelle VPN.
Nom d'utilisateur secondaire
Ce paramètre spécifie le nom de l'utilisateur utilisé par un terminal BlackBerry 10 à des fins
d'authentification secondaire auprès de la passerelle VPN. Si le profil concerne plusieurs
Ce paramètre est valide uniquement si le paramètre Type d'ID d'authentification de passerelle
est défini sur Nom de domaine complet ou Adresse électronique.
AnyConnect.
Mot de passe secondaire
Ce paramètre spécifie le mot de passe utilisé par un terminal BlackBerry 10 à des fins
d'authentification secondaire auprès de la passerelle VPN.
AnyConnect.
Nom de groupe
Ce paramètre spécifie le nom de groupe pour la passerelle VPN.
AnyConnect.
362
Description
profil VPN
Activer le traitement
automatique du certificat
client
Ce paramètre spécifie si un certificat client est automatiquement sélectionné lorsqu'une
connexion VPN est établie.
AnyConnect.
Activer l'authentification
IPsec
Ce paramètre spécifie si la passerelle VPN utilise l'authentification IPsec.
AnyConnect.
Type d'authentification IPsec
Ce paramètre spécifie le type d'authentification d'une connexion VPN IPsec.
Ce paramètre est valide uniquement si le paramètre Activer l'authentification IPsec est
sélectionné.
Valeurs possibles :
•
EAP-MS-CHAPv2
•
EAP-MD5
•
EAP-GTC
•
EAP-AnyConnect
•
IKE- RSA
La valeur par défaut est EAP-MS-CHAPv2.
ID d'authentification EAP
Ce paramètre spécifie l'identité EPA utilisée par un terminal BlackBerry 10 pour s'authentifier
auprès de la passerelle VPN.
Ce paramètre est valide uniquement si le paramètre Type d'authentification IPSec est défini
sur EAP MSCHAPv2, EAP MD5 ou EAP GTC.
Exclure les sous-réseaux
Ce paramètre spécifie si vous souhaitez empêcher des sous-réseaux spécifiques d'utiliser la
connexion VPN.
AnyConnect.
363
Description
profil VPN
Sous-réseaux exclus
Ce paramètre spécifie les sous-réseaux et masques de sous-réseau qui ne sont pas envoyés
via la connexion VPN.
Ce paramètre est valide uniquement si le paramètre Exclure des sous-réseaux est sélectionné.
Fichier de configuration Cisco Ce paramètre spécifie l'emplacement du fichier de configuration Cisco AnyConnect envoyé
AnyConnect (.xml)
aux terminaux BlackBerry 10.
AnyConnect.
Autoriser les applications
personnelles sur les réseaux
professionnels
Ce paramètre spécifie si les applications personnelles d'un terminal BlackBerry 10 peuvent
utiliser la connexion VPN.
Ce paramètre est valide uniquement si le paramètre Autoriser les applications personnelles à
utiliser les réseaux professionnels est sélectionné.
Action de certificats non
approuvés
Ce paramètre spécifie si un terminal BlackBerry 10 accepte des certificats non approuvés. Si
ce paramètre est défini sur Autoriser, le terminal accepte automatiquement les certificats non
approuvés. Si cette option est définie sur Invite, l'utilisateur peut choisir d'accepter les
certificats non approuvés. Si ce paramètre est défini sur Interdire, le terminal n'accepte pas
les certificats non approuvés.
Le paramètre Type de passerelle détermine les actions de certificats non approuvés prises en
charge et la valeur par défaut de ce paramètre.
Valeurs possibles :
•
Autoriser
•
Invite
•
Interdire
Source du certificat client
Ce paramètre spécifie la manière dont les terminaux BlackBerry 10 obtiennent le certificat
client. Quatre options permettent aux terminaux d'obtenir des certificats client :
•
Si vous choisissez Carte à puce, l'utilisateur doit coupler le terminal avec une carte à
puce contenant le certificat client.
•
Si vous choisissez SCEP, vous devez également spécifier le profil SCEP associé que le
terminal peut utiliser pour télécharger le certificat client.
364
Description
profil VPN
•
Si vous choisissez Identifiants de l'utilisateur, vous devez également spécifier le profil
des identifiants de l'utilisateur associé que le terminal peut utiliser pour télécharger le
certificat client.
•
Si vous choisissez Autre, l'utilisateur doit manuellement ajouter le certificat client au
terminal.
Les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure prennent en charge la
carte à puce.
Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur PKI
ou XAUTH-PKI.
Valeurs possibles :
•
Carte à puce
•
SCEP
•
•
Autre
La valeur par défaut est Autre.
Ce paramètre spécifie le profil SCEP associé utilisé par un terminal BlackBerry 10 pour obtenir
un certificat client et s'authentifier auprès du VPN.
SCEP.
d'identification de l'utilisateur par un terminal BlackBerry 10 pour obtenir un certificat client et s'authentifier auprès du VPN.
associé
La configuration minimale pour utiliser un profil des informations d'identification de
l'utilisateur est BlackBerry 10 OS version 10.3.1.
Durée de vie IKE
Ce paramètre spécifie la durée de vie de la connexion IKE (en secondes). Si vous définissez
une valeur non prise en charge ou une valeur nulle, la valeur par défaut du terminal
BlackBerry 10 est utilisée.
Les valeurs possibles sont comprises entre 1 et 2 147 483 647.
Durée de vie IPsec
Ce paramètre spécifie la durée de vie de la connexion IPsec (en secondes). Si vous définissez
une valeur non prise en charge ou une valeur nulle, la valeur par défaut du terminal
BlackBerry 10 est utilisée.
365
Description
profil VPN
Tunnellisation fractionnée
Ce paramètre spécifie si un terminal BlackBerry 10 peut utiliser la tunnellisation fractionnée
pour contourner la passerelle VPN (sous réserve de prise en charge par la passerelle VPN).
Désactiver la bannière
Ce paramètre spécifie si un terminal BlackBerry 10 bloque la bannière VPN.
Source du certificat approuvé Ce paramètre spécifie la source du certificat approuvé. Si ce paramètre est défini sur Magasin
de certificats approuvé, un terminal BlackBerry 10 peut se connecter à un VPN à l'aide d'un
certificat du magasin de certificats.
Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur PKI
ou XAUTH-PKI.
Valeurs possibles :
•
Aucune
•
Magasin de certificats approuvés
Déterminer automatiquement Ce paramètre spécifie si un terminal BlackBerry 10 détermine automatiquement la
la configuration IP
configuration IP de la passerelle VPN.
Adresse IP privée
Ce paramètre spécifie l'adresse IP privée de la passerelle VPN.
Ce paramètre est valide uniquement si le paramètre Déterminer automatiquement l'IP n'est
pas sélectionné.
Masque IP privé
Ce paramètre spécifie le masque d'adresse IP privée de la passerelle VPN.
pas sélectionné.
Sous-réseau
Ce paramètre spécifie le sous-réseau de la passerelle VPN.
pas sélectionné.
Masque de sous-réseau
Ce paramètre spécifie le masque de sous-réseau de la passerelle VPN.
pas sélectionné.
Déterminer automatiquement Ce paramètre spécifie si un terminal BlackBerry 10 détermine automatiquement la
la configuration DNS
configuration DNS de la passerelle VPN.
366
Description
profil VPN
DNS primaire
exemple, 192.0.2.0).
Ce paramètre est valide uniquement si le paramètre Déterminer automatiquement le DNS
n'est pas sélectionné.
DNS secondaire
Suffixe de domaine
Ce paramètre spécifie l'FQDN du suffixe DNS.
Perfect Forward Secrecy
(confidentialité totale des
transferts)
Ce paramètre spécifie si la passerelle VPN prend en charge PFS.
Sélection manuelle des
algorithmes
Ce paramètre spécifie si vous devez définir les algorithmes cryptographiques de la passerelle
VPN.
Groupe DH IKE
Ce paramètre spécifie le groupe DH utilisé par un terminal BlackBerry 10 pour générer les
clés.
Si ce paramètre est sélectionné, le paramètre Groupe DH IPsec doit être défini sur 0.
Ce paramètre est valide uniquement si le paramètre Sélection manuelle des algorithmes est
sélectionné.
Valeurs possibles :
•
1 à 26, sauf 3, 4 et 6
•
Personnalisé 1 à Personnalisé 5
Fournisseur DH IKE
personnalisé
Ce paramètre spécifie le nom du fournisseur pour DH IKE personnalisé.
Activer MOBIKE
Ce paramètre spécifie si la passerelle VPN prend en charge MOBIKE.
Ce paramètre est uniquement valide que si le paramètre Groupe DH IKE est défini sur une des
valeurs personnalisées.
Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Serveur
VPN IKEv2 Microsoft ou Serveur VPN générique IKEv2, le paramètre Type d'authentification
sur PKI et le paramètre Groupe DH IKE sur une des valeurs personnalisées.
367
Description
profil VPN
Cryptage IKE
Ce paramètre spécifie l'algorithme utilisé par un terminal BlackBerry 10 pour générer une clé
secrète partagée.
sélectionné.
Valeurs possibles :
•
Aucune
•
DES (clé 56 bits)
•
Triple DES (clé 168 bits)
•
AES (clé 128 bits)
•
AES (clé 192 bits)
•
AES (clé 256 bits)
Hachage IKE
Ce paramètre spécifie la fonction de hachage utilisée par un terminal BlackBerry 10 avec IKE.
sélectionné.
Valeurs possibles :
•
Aucune
•
MD5
•
AES-XCBC
•
SHA-1
•
SHA-256
•
SHA-384
•
SHA-512
PRF IKE
Ce paramètre spécifie la fonction PRF utilisée par un terminal BlackBerry 10 avec IKE.
sélectionné.
Valeurs possibles :
368
Description
profil VPN
•
Aucune
•
HMAC
•
HMAC-MD5
•
AES-XCBC
•
HMAC-SHA-1
•
HMAC-SHA-256
•
HMAC-SHA-384
•
HMAC-SHA-512
Groupe DH IPsec
Ce paramètre spécifie le groupe DH utilisé par un terminal BlackBerry 10 avec IPsec.
sélectionné.
Les valeurs possibles sont comprises entre 0 et 26, sauf 3, 4 et 6.
Cryptage IPsec
Ce paramètre spécifie l'algorithme utilisé par un terminal BlackBerry 10 avec IPsec.
sélectionné.
Valeurs possibles :
•
Aucune
•
DES (clé 56 bits)
•
Triple DES (clé 168 bits)
•
AES (clé 128 bits)
•
AES (clé 192 bits)
•
AES (clé 256 bits)
Hachage IPsec
Ce paramètre spécifie la fonction de hachage utilisée par un terminal BlackBerry 10 avec
IPsec.
sélectionné.
Valeurs possibles :
369
Description
profil VPN
•
Aucune
•
MD5
•
AES-XCBC
•
SHA-1
•
SHA-256
•
SHA-384
•
SHA-512
NAT keepalive
Ce paramètre spécifie la fréquence à laquelle un terminal envoie un paquet NAT keepalive. Si
vous définissez une valeur non prise en charge ou une valeur nulle, la valeur par défaut du
terminal BlackBerry 10 est utilisée.
Fréquence DPD
Ce paramètre spécifie la fréquence DPD, en secondes. Un terminal BlackBerry 10prend en
charge un minimum de 10 secondes. Si vous définissez une valeur non prise en charge ou une
valeur nulle, la valeur par défaut du terminal est utilisée.
Modifiable par l'utilisateur
Ce paramètre spécifie les paramètres VPN qu'un utilisateur de terminal BlackBerry 10 peut
modifier. Si ce paramètre est défini sur Lecture seule, l'utilisateur ne peut pas modifier les
paramètres. Si ce paramètre est défini sur Informations d'identification uniquement,
l'utilisateur peut modifier le nom d'utilisateur et le mot de passe.
Valeurs possibles :
•
Lecture seule
•
La valeur par défaut est Lecture seule.
Afficher les informations VPN
sur le terminal
Ce paramètre spécifie si les informations VPN s'affichent sur un terminal BlackBerry 10. Si ce
paramètre est défini sur Visibles, la plupart des informations du profil VPN s'affichent sur le
terminal. Si ce paramètre est défini sur Invisibles, seul le nom du profil s'affiche sur le
terminal. Si ce paramètre est défini sur Informations d'identification uniquement, les champs
relatifs au nom du profil et aux informations d'identification s'affichent sur le terminal.
Valeurs possibles :
•
Visibles
370
Description
profil VPN
•
Invisibles
•
La valeur par défaut est Visibles.
Niveau de sécurité des
données
Ce paramètre spécifie le domaine de l'espace Travail où le profil VPN est stocké lorsque
l'espace Travail utilise la protection avancée des données inactives. Ce paramètre est
uniquement valide si la règle de stratégie informatique « Appliquer la protection avancée des
données inactives » est sélectionnée. Si ce paramètre est défini sur Toujours disponible, le
profil est stocké dans le domaine de démarrage et disponible lorsque l'espace Travail est
verrouillé. Si ce paramètre est défini sur Disponible après authentification, le profil est stocké
dans le domaine opérationnel et disponible lorsque l'espace Travail est déverrouillé une fois
jusqu'à ce que le terminal redémarre. Si ce paramètre est défini sur Disponible uniquement
lorsque l'espace Travail est déverrouillé, le profil est stocké dans le domaine de verrouillage et
peut être utilisé pour les connexions VPN uniquement lorsque l'espace Travail est déverrouillé.
Valeurs possibles :
•
Toujours disponible
•
Disponible après authentification
•
Disponible uniquement lorsque l'espace Travail est déverrouillé
La valeur par défaut est Toujours disponible.
Ce paramètre spécifie le profil proxy associé utilisé par un terminal BlackBerry 10 pour se
connecter à un serveur proxy lorsque le terminal est connecté au VPN.
: paramètres de profil VPNiOSOS X
OS X applique les profils aux terminaux ou comptes d'utilisateur. Vous pouvez configurer un profil VPN à appliquer à l'un ou à
l'autre.
iOSetOS X : paramètre de
profil VPN
Description
Ce paramètre indique si le profil VPN est appliqué au compte d'utilisateur ou au terminal.
Valeurs possibles :
371
profil VPN
Description
•
Utilisateur
•
Terminal
Ce paramètre est valide uniquement pour les terminaux OS X.
Type de connexion
Ce paramètre spécifie le type de connexion utilisé par un terminal pour une passerelle VPN.
Certains types de connexion requièrent également que les utilisateurs installent l'application
VPN sur le terminal.
Valeurs possibles :
•
L2TP
•
PPTP
•
IPsec
•
Cisco AnyConnect
•
Juniper
•
Pulse Secure
•
F5
•
SonicWALL Mobile Connect
•
Aruba VIA
•
Check Point Mobile
•
OpenVPN
•
Personnalisée
•
IKEv2
La valeur par défaut est L2TP.
Certaines valeurs ne sont pas valides pour les terminaux OS X.
ID d'offre VPN
Ce paramètre spécifie l'ID d'offre de l'application VPN pour un VPN SSL personnalisé. L'ID
d'offre est au format DNS inversé (par exemple, com.exemple.VPNapp).
Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur
Personnalisée.
Serveur,
Nom d'utilisateur
Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal pour s'authentifier auprès
de la passerelle VPN. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la
372
profil VPN
Valeurs et clés personnalisées
Description
Ce paramètre spécifie les clés et les valeurs associées du VPN SSL personnalisé. Les
informations de configuration sont spécifiques à l'application VPN du fournisseur.
Personnalisée.
Groupe de connexion ou
domaine
Ce paramètre spécifie le groupe de connexion ou le domaine utilisé par la passerelle VPN
pour authentifier un terminal iOS.
SonicWALL Mobile Connect.
Domaine
Ce paramètre spécifie le nom de domaine d'authentification utilisé par la passerelle VPN
pour authentifier un terminal iOS.
Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur Juniper
ou Pulse Secure.
Rôle
Ce paramètre spécifie le nom du rôle d'utilisateur utilisé par la passerelle VPN pour vérifier
les ressources réseau auxquelles un terminal iOS peut accéder.
Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur Juniper
ou Pulse Secure.
Le paramètre Type de connexion détermine les types d'authentification pris en charge et la
Valeurs possibles :
Mot de passe,
•
Mot de passe,
•
RSA SecurID
•
Secret partagé/Nom de groupe
•
Certificat partagé
•
SCEP
•
Ce paramètre spécifie le mot de passe utilisé par un terminal pour s'authentifier auprès de la
passerelle VPN.
Mot de passe.
373
profil VPN
Description
Nom de groupe
Ce paramètre spécifie le nom de groupe pour la passerelle VPN.
Ce paramètre est valide uniquement dans les conditions suivantes :
Secret partagé
•
Le paramètre Type de connexion est défini sur Cisco AnyConnect.
•
Le paramètre Type de connexion est défini sur IPsec et le paramètre Type
d'authentification est défini sur Secret partagé/Nom de groupe.
Ce paramètre spécifie le secret partagé à utiliser pour l'authentification VPN.
•
Le paramètre Type de connexion est défini sur L2TP.
•
Le paramètre Type de connexion est défini sur IPsec et le paramètre Type
d'authentification est défini sur Secret partagé/Nom de groupe.
•
Le paramètre Type de connexion est défini sur IKEv2 et le paramètre Méthode
d'authentification est défini sur Secret partagé.
terminal pour s'authentifier auprès de la passerelle VPN.
Méthode d'authentification est défini sur Certificat partagé.
Ce paramètre spécifie le profil SCEP associé utilisé par un terminal iOS pour obtenir un
certificat client et s'authentifier auprès du VPN.
Méthode d'authentification est défini sur SCEP.
d'identification de l'utilisateur
associé
Ce paramètre spécifie le profil d'informations d'identification de l'utilisateur associé utilisé
par un terminal pour obtenir un certificat client et s'authentifier auprès du VPN.
Niveau de cryptage
Ce paramètre spécifie le niveau de cryptage des données pour la connexion VPN. Si ce
paramètre est défini sur Automatique, tous les niveaux de cryptage sont autorisés. Si ce
paramètre est défini sur Maximum, seul le cryptage maximum est autorisé.
Méthode d'authentification est défini sur Identifiants de l'utilisateur.
Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur PPTP.
Valeurs possibles :
•
Aucune
374
profil VPN
Description
•
Automatique
•
Maximum
Acheminer le trafic réseau via
VPN
Ce paramètre spécifie si vous souhaitez acheminer le trafic réseau via une connexion VPN.
Utiliser une authentification
hybride
Ce paramètre spécifie si vous souhaitez utiliser un certificat côté serveur pour
l'authentification.
Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur L2TP
ou PPTP.
Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IPsec
et le paramètre Type d'authentification sur Secret partagé/Nom de groupe.
Demander un mot de passe
Ce paramètre spécifie si un terminal invite l'utilisateur à saisir un mot de passe.
et le paramètre Type d'authentification sur Secret partagé/Nom de groupe.
Demander un code PIN à
l'utilisateur
Ce paramètre spécifie si le terminal invite l'utilisateur à saisir un code PIN.
Adresse distante
Ce paramètre spécifie l'adresse IP ou le nom d'hôte du serveur VPN.
et le paramètre Type d'authentification sur Certificat partagé, SCEP ou Informations
d'identification de l'utilisateur.
Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2.
ID local
Ce paramètre spécifie l'identité du client IKEv2 dans l'un des formats suivants : FQDN,
UserFQDN, Adresse et ASN1DN.
ID distant
Ce paramètre spécifie l'identifiant distant du client IKEv2 à l'aide de l'un des formats
suivants : FQDN, FQDN de l'utilisateur, Adresse ou ASN1DN.
Méthode d'authentification
Ce paramètre spécifie la méthode d'authentification du VPN.
Valeurs possibles :
375
profil VPN
Activer VPN à la demande
Description
•
Secret partagé
•
Certificat partagé
•
SCEP
•
Ce paramètre spécifie si un terminal peut automatiquement établir une connexion VPN
lorsqu'il accède à certains domaines.
Pour les terminaux iOS, ce paramètre s'applique aux applications professionnelles.
Domaine ou noms d'hôte
pouvant utiliser un VPN à la
demande
•
Le paramètre Type de connexion est défini sur IPsec, Cisco AnyConnect, Juniper,
Pulse Secure, F5, SonicWALL Mobile Connect, Aruba VIA, Check Point Mobile,
OpenVPN ou Personnalisée et le paramètre Type d'authentification sur Certificat
partagé, SCEP ou Identifiants de l'utilisateur.
•
Le paramètre Type de connexion est défini sur IKEv2 et le paramètre Méthode
d'authentification est défini sur Certificat partagé.
Ce paramètre spécifie les domaines et actions associées pour utiliser un VPN à la demande.
sélectionné.
Valeurs possibles pour Action à la demande :
Règles de VPN à la demande
pour iOS 7.0 ou version
ultérieure
•
Toujours établir
•
Établir si nécessaire
•
Ne jamais établir
Ce paramètre spécifie les exigences de connexion pour utiliser un VPN à la demande. Vous
devez utiliser une ou plusieurs clés de l'exemple de format de charge utile.
Ce paramètre remplace le paramètre Domaine ou noms d'hôte pouvant utiliser un VPN à la
demande.
sélectionné.
Activer l'authentification
étendue
Ce paramètre spécifie si le VPN prend en charge xAuth.
Intervalle keepalive
Ce paramètre spécifie la fréquence à laquelle un terminal envoie un paquet keepalive.
376
profil VPN
Description
Valeurs possibles :
•
Désactivée
•
30 minutes
•
10 minutes
•
1 minute
Le paramètre par défaut est 10 minutes.
Désactiver MOBIKE
Ce paramètre indique si le MOBIKE est désactivé.
La configuration minimale pour les terminaux iOS est iOS 9.
Désactiver la redirection IKEv2
Ce paramètre spécifie si la redirection IKEv2 est désactivée. Si ce paramètre n'est pas
coché, la connexion IKEv2 est redirigée si une demande de redirection est reçue à partir du
serveur.
Activer Perfect Forward
Secrecy (confidentialité totale
des transferts)
Activer NAT keepalive
Ce paramètre spécifie si la passerelle VPN prend en charge le PFS.
Ce paramètre spécifie si la passerelle VPN prend en charge les paquets keepalive NAT. Les
paquets keepalive sont utilisés pour maintenir les mappages NAT pour les connexions IKEv2.
Intervalle NAT keepalive
Ce paramètre spécifie la fréquence à laquelle un terminal envoie un paquet NAT keepalive
(en secondes).
Ce paramètre n'est valide que si le paramètre Type de connexion est défini sur IKEv2 et si le
paramètre Activer le keepalive NAT est sélectionné.
La valeur minimale, également valeur par défaut, est de 20.
377
profil VPN
Description
Utiliser les sous-réseaux
internes IPv4 et IPv6 IKEv2
Ce paramètre indique si le VPN peut utiliser l'attribut de configuration IKEv2
INTERNAL_IP4_SUBNET et INTERNAL_IP6_SUBNET.
Nom commun du certificat de
serveur
Ce paramètre spécifie le nom usuel du certificat envoyé par le serveur IKE au terminal.
Nom commun de l'émetteur du Ce paramètre spécifie le nom usuel de l'émetteur du certificat dans le certificat envoyé par le
certificat de serveur
serveur IKE au terminal.
Appliquer les paramètres
d'association de sécurité
enfant
Ce paramètre spécifie s'il faut appliquer les paramètres d'association de sécurité enfant.
Appliquer les paramètres
d'association de sécurité IKE
Ce paramètre spécifie s'il faut appliquer les paramètres d'association de sécurité IKE.
Groupe DH
Ce paramètre spécifie le groupe DH utilisé par un terminal pour générer les clés.
Ce paramètre n'est valide que si le paramètre "Appliquer les paramètres de sécurité
d'association enfant" ou "Appliquer les paramètres d'association de sécurité IKE" est
sélectionné.
Valeurs possibles :
•
0
•
1
•
2
•
5
•
14
•
15
•
16
•
17
•
18
Le paramètre par défaut est 2.
378
profil VPN
Description
Ce paramètre spécifie l'algorithme de cryptage IKE.
sélectionné.
Valeurs possibles :
•
DES
•
3DES
•
AES 128
•
AES 256
Le paramètre par défaut est 3DES.
Algorithme d'intégrité
Ce paramètre spécifie l'algorithme d'intégrité IKE.
sélectionné.
Valeurs possibles :
•
SHA1 96
•
SHA1 160
•
SHA1 256
•
SHA2 384
•
SHA2 512
La valeur par défaut est SHA1-96.
Intervalle de renouvellement de Ce paramètre spécifie la durée de vie de la connexion IKE.
clés
sélectionné.
Les valeurs possibles sont comprises entre 10 et 1440 minutes.
Activer un VPN par application
Ce paramètre spécifie si la passerelle VPN prend en charge un VPN par application. Cette
fonction permet de diminuer la charge d'un VPN d'entreprise. Par exemple, vous pouvez
activer un trafic professionnel spécifique sur le VPN, comme l'accès aux serveurs
d'applications ou aux pages Web derrière un pare-feu.
379
profil VPN
Description
Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur Cisco
AnyConnect, Juniper, Pulse Secure, F5, SonicWALL Mobile Connect, Aruba VIA, Check Point
Mobile, OpenVPN, Personnalisée ou IKEv2.
Autoriser la connexion
automatique des applications
Ce paramètre spécifie si les applications associées au VPN par application peuvent établir
automatiquement la connexion VPN.
Ce paramètre est valide uniquement si le paramètre Activer VPN par application est
sélectionné.
Domaines Safari
Ce paramètre spécifie les domaines pouvant établir la connexion VPN dans Safari.
sélectionné.
Tunnellisation du trafic
Ce paramètre indique si le VPN achemine le trafic vers la couche d'application ou la couche
IP.
sélectionné.
Valeurs possibles :
•
Couche d'application
•
Couche IP
La valeur par défaut est Couche d'application.
Ce paramètre spécifie le profil proxy associé utilisé par un terminal iOS pour se connecter à
un serveur proxy lorsque le terminal est connecté à la passerelle VPN.
Android : paramètres de profil VPN
Les profils VPN sont uniquement pris en charge sur les terminaux Samsung KNOX Workspace.
VPN
Description
Adresse du serveur
Type de VPN
Ce paramètre spécifie si un terminal utilise le protocole IPsec ou SSL pour se connecter au
serveur VPN.
Valeurs possibles :
380
VPN
Description
•
IPsec
•
SSL
La valeur par défaut est IPsec.
L'application VPN Juniper prend uniquement en charge SSL.
Authentification de l'utilisateur Ce paramètre spécifie si un utilisateur de terminal doit fournir un nom d'utilisateur et un mot
requise
de passe pour se connecter au serveur VPN.
Nom d'utilisateur
Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal pour s'authentifier auprès
de la passerelle VPN. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la
Ce paramètre est valide uniquement si le paramètre Authentification de l'utilisateur requise
est sélectionné.
Mot de passe,
Ce paramètre spécifie le mot de passe utilisé par un terminal pour s'authentifier auprès de la
passerelle VPN.
Ce paramètre est valide uniquement si le paramètre Authentification de l'utilisateur requise
est sélectionné.
Type de tunnellisation
fractionnée
Ce paramètre spécifie si un terminal peut utiliser la tunnellisation fractionnée pour
contourner la passerelle VPN (sous réserve de prise en charge par la passerelle VPN).
Valeurs possibles :
•
Désactivée
•
Manuel
•
Auto
Si le paramètre Type de VPN est défini sur IPsec, ce paramètre doit être défini sur Désactivé.
La valeur par défaut est Désactivé.
Itinéraires de transfert
Ce paramètre spécifie le(s) cheminement(s) contournant la passerelle VPN. Vous pouvez
spécifier une ou plusieurs adresses IP.
Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur SSL et le
paramètre Type de tunnellisation fractionnée sur Manuel.
DPD
Ce paramètre indique si le protocole DPD est activé.
Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec.
381
VPN
Description
Version IKE
Ce paramètre spécifie la version du protocole IKE à utiliser avec la connexion VPN.
Valeurs possibles :
•
IKEv1
•
IKEv2
La valeur par défaut est IKEv1.
Type d'authentification IPsec
Ce paramètre spécifie le type d'authentification d'une connexion VPN IPsec. Le paramètre
Version IKE détermine les types d'authentification IPsec pris en charge et la valeur par défaut
de ce paramètre.
Valeurs possibles :
•
Certificat
•
Clé pré-partagée
•
Hybride RSA
•
Authentification CAC
Type d'ID de groupe IPsec
Ce paramètre spécifie le type d'ID de groupe IPsec de la connexion VPN. Le paramètre Type
d'authentification IPsec détermine les types d'ID de groupe IPsec pris en charge et la valeur
par défaut de ce paramètre.
Valeurs possibles :
•
Par défaut
•
Adresse IPv4
•
•
FQDN de l'utilisateur
•
ID de clé IKE
Si le paramètre Type d'authentification IPsec correspond à Certificat, ce paramètre est
automatiquement défini sur Par défaut.
ID de groupe IPsec
Ce paramètre spécifie l'ID de groupe IPsec de la connexion VPN.
382
VPN
Mode d'échange de clé de la
phase 1 IKE
Description
Ce paramètre spécifie le mode d'échange de la connexion VPN.
Valeurs possibles :
•
Mode principal
•
Mode agressif
La valeur par défaut est Mode principal.
Durée de vie IKE
Ce paramètre spécifie la durée de vie de la connexion IKE (en secondes). Si vous définissez
une valeur non prise en charge ou une valeur nulle, la valeur par défaut du terminal est
utilisée.
Algorithme de cryptage IKE
Algorithme d'intégrité IKE
Groupe DH IPsec
Ce paramètre spécifie le groupe DH utilisé par un terminal pour générer les clés.
Les valeurs possibles sont 0, 1, 2, 5 et comprises entre 14 et 26.
Paramètre IPsec
Perfect Forward Secrecy
(confidentialité totale des
transferts)
Ce paramètre spécifie si la passerelle VPN prend en charge PFS.
Activer MOBIKE
Ce paramètre spécifie si la passerelle VPN prend en charge MOBIKE.
Durée de vie IPsec
Ce paramètre spécifie la durée de vie de la connexion IPsec (en secondes). Si vous définissez
une valeur non prise en charge ou une valeur nulle, la valeur par défaut du terminal est
utilisée.
Algorithme de cryptage IPsec
383
VPN
Description
Algorithme d'intégrité IPsec
Valeurs possibles :
•
Aucune
•
Authentification basée sur certificat
•
Authentification CAC
Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur SSL.
Algorithme SSL
Ce paramètre spécifie l'algorithme de cryptage requis pour une connexion VPN SSL.
Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur SSL.
Ajouter des informations
UID/PID
Ce paramètre spécifie si les informations UID et PID sont ajoutées aux paquets envoyés au
client VPN.
Ce paramètre doit être sélectionné pour l'application VPN Cisco AnyConnect.
Chainage de prise en charge
Ce paramètre spécifie comment le chainage VPN est pris en charge.
Valeurs possibles :
•
Chainage de prise en charge
•
Tunnel extérieur
•
Tunnel intérieur
La valeur par défaut est Chainage de prise en charge.
Paires valeur-clé du fournisseur Ce paramètre spécifie les clés et les valeurs associées du VPN. Les informations de
configuration sont spécifiques à l'application VPN du fournisseur.
ID du progiciel client VPN
Ce paramètre spécifie l'ID de package de l'application VPN.
Essayer automatiquement de
se reconnecter après une
erreur
Ce paramètre spécifie si la connexion VPN doit être automatiquement redémarrée après que
la connexion ait été perdue.
Activer le mode FIPS
Ce paramètre spécifie si le protocole FIPS est activé. L'activation du mode FIPS veille à ce
que seuls les algorithmes cryptographiques soient utilisés pour la connexion VPN.
384
Windows 10 : paramètres de profil VPN
Windows : paramètre de profil
VPN
Description
Type de connexion
Ce paramètre spécifie le type de connexion utilisé par un terminal Windows 10 pour un VPN.
Valeurs possibles :
•
Microsoft
•
Junos Pulse
•
SonicWALL Mobile Connect
•
F5
•
Check Point Mobile
•
Définition de la connexion manuelle
La valeur par défaut est Microsoft.
Serveur,
Ce paramètre spécifie l'adresse IP publique ou routable ou le nom DNS pour le VPN. Ce
paramètre peut pointer vers l'IP externe d'un VPN, ou une adresse IP virtuelle pour un parc
de serveurs.
Ce paramètre est valide uniquement si le Type de connexion est défini sur Microsoft.
Liste d'URL de serveur
Ce paramètre spécifie une liste séparée par des virgules des serveurs au format URL, nom
d'hôte ou format IP.
Ce paramètre est valide uniquement si le paramètre Type de connexion n'est pas défini sur
Microsoft.
Type de stratégie de routage
Ce paramètre spécifie le type de stratégie de routage.
Valeurs possibles :
•
Tunnel fractionné
•
Appliquer le tunnel
La valeur par défaut est Forcer le tunnel.
Type de protocole natif
Ce paramètre spécifie le type de stratégie de routage utilisé par le VPN.
Valeurs possibles :
385
VPN
Description
•
L2TP
•
PPTP
•
IKEv2
•
Automatique
La valeur par défaut est Automatique.
Authentification
Ce paramètre indique la méthode d'authentification utilisée pour le VPN natif.
Le paramètre Type de protocole natif détermine les méthodes d'authentification prises en
charge et la valeur par défaut de ce paramètre.
•
Si vous sélectionnez L2TP ou PPTP, les valeurs possibles sont MS-CHAPv2 et EAP.
•
Si vous sélectionnez IKEv2, les valeurs possibles sont Méthode utilisateur et
Méthode machine. La valeur par défaut est Mode Utilisateur.
•
Si vous sélectionnez Automatique, la seule valeur possible est EAP.
Valeurs possibles :
Configuration EAP
•
EAP
•
MS-CHAPv2
•
Méthode utilisateur
•
Méthode machine
Ce paramètre spécifie le code XML de la configuration EAP.
Pour plus d'informations sur la génération du code XML de la configuration EAP, visitez
https://msdn.microsoft.com/en-us/library/windows/hardware/mt168513(v=vs.85).aspx .
Ce paramètre est valide uniquement si le paramètre Authentification est défini sur EAP.
Méthode utilisateur
Ce paramètre indique le type d'authentification de méthode utilisateur à utiliser.
Ce paramètre est valide uniquement si le paramètre Authentification est défini sur Méthode
utilisateur.
Valeurs possibles :
•
Méthode machine
EAP
Ce paramètre indique le type d'authentification de méthode machine à utiliser.
386
VPN
Description
Ce paramètre est valide uniquement si le paramètre Authentification est défini sur Méthode
machine.
Valeur possible :
•
Configuration personnalisée
Certificat
Ce paramètre indique le blob XML en code HTML pour une configuration de plug-in SSL-VPN
spécifique, avec les informations d'authentification envoyées au terminal pour la prise en
charge des plug-ins SSL-VPN.
Ce paramètre est valide uniquement si le paramètre Type de connexion n'est pas défini sur
Microsoft.
Nom de la famille de package
de plug-ins
Ce paramètre spécifie le nom de famille de package du VPN SSL personnalisé.
Liste d'applications de
déclenchement
Ce paramètre spécifie une liste d'applications qui démarrent la connexion VPN.
Liste d'applications de
déclenchement > ID
d'application
Ce paramètre identifie une application pour un VPN par application.
Ce paramètre est valide uniquement si le Type de connexion est défini sur Définition de la
connexion manuelle.
Valeurs possibles :
•
Nom de la famille de package. Pour trouver le nom de famille de package, installez
l'application et exécutez la commande Windows PowerShell, Get-AppxPackage.
Pour plus d'informations, visitez http://technet.microsoft.com/en-us/library/
hh856044.aspx .
•
Emplacement d'installation de l'application. Par exemple, C:\Windows\System
\notepad.exe .
Liste des itinéraires
Ce paramètre spécifie une liste des itinéraires que le VPN peut emprunter. Si le VPN utilise la
tunnellisation fractionnée, une liste des itinéraires est requise.
Adresse du sous-réseau
Ce paramètre spécifie l'adresse IP du préfixe de destination au format d'adresse IPv4 ou
IPv6.
Préfixe de sous-réseau
Ce paramètre spécifie le préfixe de sous-réseau du préfixe de destination.
Liste des noms de domaines
Ce paramètre spécifie les règles NRPT pour le VPN.
Nom de domaine
Ce paramètre spécifie le nom complet ou le suffixe du domaine.
387
VPN
Description
Serveurs DNS
Ce paramètre spécifie la liste des adresses IP des serveurs DNS en les séparant par des
virgules.
Serveurs Web proxy
Ce paramètre spécifie l'adresse IP du serveur Web proxy.
Liste des filtres de trafic
Ce paramètre spécifie les règles autorisant le trafic via le VPN.
Liste des filtres de trafic > ID
d'application
Ce paramètre identifie une application pour un filtre de trafic basé sur l'application.
Protocole
Valeurs possibles :
•
Nom de la famille de package. Pour trouver le nom de famille de package, installez
l'application et exécutez la commande Windows PowerShell, Get-AppxPackage.
Pour plus d'informations, visitez http://technet.microsoft.com/en-us/library/
hh856044.aspx .
•
Emplacement d'installation de l'application. Par exemple, C:\Windows\System
\notepad.exe .
•
Tapez « SYSTEM » pour que les pilotes du noyau puissent envoyer le trafic par le
biais du VPN (par exemple, PING ou SMB).
Ce paramètre spécifie le protocole utilisé par le VPN.
Valeurs possibles :
•
Toutes
•
TCP
•
UDP
La valeur par défaut est Tout.
Plages de ports locaux
Ce paramètre spécifie la liste des plages de ports locaux autorisées en les séparant par des
virgules. Par exemple, 100-120, 200, 300-320.
Plages de ports distants
Ce paramètre spécifie la liste des plages de ports distants autorisées en les séparant par des
virgules. Par exemple, 100-120, 200, 300-320.
Plages d'adresses locales
Ce paramètre spécifie la liste des plages d'adresses IP locales autorisées en les séparant par
des virgules.
Plages d'adresses distantes
Ce paramètre spécifie la liste des plages d'adresses IP distantes autorisées en les séparant
par des virgules.
388
VPN
Type de stratégie de routage
Description
Ce paramètre spécifie la stratégie de routage utilisée par le filtre de trafic. Si vous le
définissez sur Forcer le tunnel, tout le trafic passe par le VPN. Si vous le définissez sur Tunnel
partagé, le trafic peut passer par le VPN ou Internet.
Valeurs possibles :
•
Tunnel fractionné
•
Appliquer le tunnel
Le paramètre par défaut est Forcer le tunnel.
Mémoriser les informations
d'identification
Ce paramètre spécifie si les identifiants doivent être mis en cache lorsque cela est possible.
Toujours activer
Ce paramètre spécifie si la connexion au VPN doit s'activer automatiquement lors de
l'authentification et la garder active jusqu'à ce que l'utilisateur déconnecte manuellement le
VPN.
Suffixe DNS
Ce paramètre spécifie un ou plusieurs suffixes DNS séparés par des virgules. Le premier
suffixe DNS de la liste est également utilisé en tant que connexion principale pour le VPN. La
liste est ajoutée à SuffixSearchList.
Détection de réseau sécurisé
Ce paramètre spécifie une chaine séparée par des virgules pour identifier le réseau sécurisé.
Le VPN ne se connecte pas automatiquement lorsque les utilisateurs sont sur le réseau sans
fil de leur entreprise.
Type de proxy
Ce paramètre spécifie le type de configuration proxy pour le VPN.
Valeurs possibles :
•
Aucune
•
Configuration PAC
•
Configuration manuelle
URL du fichier PAC
Ce paramètre spécifie l'URL du serveur Web qui héberge le fichier PAC, y compris le nom du
fichier PAC. Par exemple, http://www.example.com/PACfile.pac.
Ce paramètre est valide uniquement si le paramètre Type de proxy est défini sur
Configuration PAC.
Adresse
Ce paramètre spécifie le FQDN ou l'adresse IP du serveur proxy.
389
VPN
Description
Ce paramètre est valide uniquement si le paramètre Type de proxy est défini sur
Configuration manuelle.
Ce paramètre spécifie le profil SCEP associé utilisé par un terminal pour obtenir un certificat
client et s'authentifier auprès du VPN.
390
Paramètres de profil Enterprise Data Protection
Paramètres de profil Enterprise Data
Protection
15
Les profils Enterprise Data Protection sont pris en charge sur les types de terminaux suivants :
•
Windows 10
Windows 10 : paramètres de profil de protection
des données d'entreprise
Windows 10 : paramètre de profil de
protection des données d'entreprise
Paramètres de protection des données
d'entreprise
Description
Ce paramètre spécifie si la protection des données d'entreprise est activée et son
degré d'application. Lorsque ce paramètre est défini sur « Désactivé », les données
ne sont pas cryptées et la journalisation des audits est désactivée. Lorsque ce
paramètre est défini sur « Silencieux », les données sont cryptées et toute tentative
de partage de données protégées est consignée. Lorsque ce paramètre est défini
sur « Remplacer », les données sont cryptées, l'utilisateur reçoit une invite lorsqu'il
tente de partager des données protégées, et toute tentative de partage de données
protégées est consignée. Lorsque ce paramètre est défini sur « Bloquer », les
données sont cryptées, les utilisateurs ne peuvent pas partager des données
protégées, et toute tentative de partage de données protégées est consignée.
Valeurs possibles :
•
O
•
Silencieux
•
Remplacer
•
Bloquer
La valeur par défaut est « Off ».
Noms de domaines du réseau
professionnel
Ce paramètre spécifie les noms de domaine du réseau professionnel qui sont
associés à votre organisation. Vous pouvez séparer plusieurs domaines avec des
barres verticales (« | »). Le premier domaine est utilisé comme une chaine pour
marquer les fichiers protégés par des applications qui utilisent EDP.
391
Paramètres de profil Enterprise Data Protection
Windows 10 : paramètre de profil de
protection des données d'entreprise
Description
Par exemple : exemple.com| exemple.net.
Autoriser le décryptage par l'utilisateur
Ce paramètre spécifie si un utilisateur est autorisé à décrypter des fichiers protégés
par EDP.
Appliquer la protection sous la
configuration de verrouillage
Ce paramètre spécifie si les données sont protégées lorsque le terminal est
verrouillé. Par exemple, ce paramètre empêche le texte des e-mails professionnels
de s'afficher sur l'écran de verrouillage.
Fichier de certificat de récupération de
données (.der, .cer)
Ce paramètre spécifie le fichier de certificat de récupération de données. Le fichier
que vous spécifiez doit être un certificat codé PEM ou DER, avec une extension de
fichier.der ou .cer.
Le fichier de certificat de récupération de données permet aux administrateurs de
récupérer des fichiers qui ont été protégés localement sur un terminal. Par
exemple, si votre organisation souhaite récupérer des données protégées par EDP
depuis un terminal.
Révoquer les paramètres EDP lorsqu'un
terminal est désinscrit de BES
Ce paramètre spécifie si les paramètres EDP doivent être révoqués lorsqu'un
terminal est désactivé. Lors les paramètres EDP sont révoqués, l'utilisateur ne peut
plus accéder aux fichiers protégés.
Afficher les superpositions EDP sur les
fichiers et applications protégés et
uniquement autorisés à créer du
contenu d'entreprise
Ce paramètre spécifie si une icône de superposition est affichée sur les icônes de
fichier et d'application pour indiquer si un fichier ou une application est protégé(e)
par EDP.
Portée IP du réseau professionnel
Ce paramètre spécifie la plage d'adresses IP au travail avec laquelle une
application protégée par EDP peut partager des données.
Utilisez un tiret pour indiquer une plage d'adresses. Utilisez une virgule pour
séparer les adresses.
Code de charge utile d'application de
bureau
Spécifiez les clés et valeurs des applications de bureau qui sont utilisées pour
configurer les restrictions de lancement d'application sur les terminaux Windows
10. Vous devez utiliser les clés définies par Microsoft pour le type charge utile que
vous souhaitez configurer.
Code de charge utile de l'application de
la plateforme Windows universelle
Spécifiez les clés et les valeurs d'application de la plateforme Windows universelle
qui sont utilisées pour configurer la protection des données d'entreprise sur les
terminaux Windows 10. Vous devez utiliser les clés définies par Microsoft pour le
type de charge utile que vous souhaitez configurer.
392
Feuille de référence des stratégies
Feuille de référence des stratégies
Pour plus d'informations sur les stratégies informatiques, téléchargez la Feuille de référence des stratégies sur
help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/.
393
16
Glossaire
Glossaire
17
AES
Advanced Encryption Standard (méthode de cryptage avancé)
AET
Jeton d'inscription d'application
APNs
Apple Push Notification service (Service Apple Push Notification)
BES12
BlackBerry Enterprise Service 12
CA
certification authority (autorité de certification)
certificat
Un certificat est un document numérique qui lie l'identité et la clé publique d'un sujet de certificat. À
chaque certificat correspond une clé privée stockée séparément. Une autorité de certification signe
le certificat pour attester de son authenticité et de sa fiabilité.
CRL
Certificate Revocation List (liste de révocation des certificats)
DEP
Programme d'inscription des appareils
DNS
Domain Name System (système DNS)
DPD
Dead Peer Detection
EAP
Extensible Authentication Protocol (protocole d'authentification extensible)
EAP-FAST
Extensible Authentication Protocol Flexible Authentication via Secure Tunneling (protocole
d'authentification extensible - Authentification flexible par tunnel sécurisé)
EAP-MS-CHAP
Extensible Authentication Protocol Microsoft® Challenge Handshake Authentication Protocol
(protocole d'authentification extensible - protocole d'authentification par challenge Microsoft®)
EAP-TLS
Extensible Authentication Protocol Transport Layer Security (protocole d'authentification extensible sécurité de la couche de transport)
EDP
Enterprise Data Protection (protection des données d'entreprise)
EMM
Enterprise Mobility Management (Gestion de la mobilité d'entreprise)
FQDN
Fully Qualified Domain Name (nom de domaine complet)
GTC
Generic Token Card
HMAC
Code d'authentification du message fragmenté
HTTP
Hypertext Transfer Protocol (protocole de transfert hypertexte)
HTTPS
Hypertext Transfer Protocol over Secure Sockets Layer (protocole de transfert hypertexte via SSL)
ICCID
Integrated Circuit Card Identifier (identifiant de carte de circuit intégré)
IKE
Internet Key Exchange (protocole IKE)
IMAP
Internet Message Access Protocol (protocole de messagerie IMAP)
394
Glossaire
IMEI
International Mobile Equipment Identity (identification internationale d'équipement mobile)
IP
Internet Protocol (protocole Internet)
IPsec
Internet Protocol Security (sécurité du protocole Internet)
Stratégie
informatique
Une stratégie informatique est composée de diverses règles qui contrôlent les fonctions de sécurité
et le comportement des terminaux.
LAN
Local Area Network (réseau local)
LDAP
Lightweight Directory Access Protocol (protocole LDAP)
MD5
Message-Digest Algorithm, version 5
MDM
Mobile device management (gestion des terminaux mobiles)
MS-CHAP
Microsoft Challenge Handshake Authentication Protocol (protocole d'authentification par challenge
de Microsoft)
NAT
Network Address Translation (traduction d'adresses de réseau)
NTLM
NT LAN Manager
OCSP
Online Certificate Status Protocol (protocole d'état de certificat en ligne)
PAC
Proxy Auto-Configuration (configuration automatique de proxy)
PFS
Perfect Forward Secrecy (confidentialité totale des transferts)
PKI
Public Key Infrastructure (infrastructure de clé publique)
PMK
Pairwise Master Key (clé maîtresse du cryptage par paires)
POP
Post Office Protocol (protocole de réception des e-mails)
PRF
Famille de fonctions pseudo-aléatoires
PSK
Pre-Shared Key (clé prépartagée)
SCEP
Simple Certificate Enrollment Protocol (service d'inscription de périphériques réseau)
SHA
Secure Hash Algorithm (algorithme SHA)
SIM
Subscriber Identity Module (module d'identification de l'abonné)
S/MIME
Secure Multipurpose Internet Mail Extensions (extensions du courrier électronique à but multiples et
sécurisées)
Espace
Un espace est une zone distincte du terminal qui permet de compartimenter et de gérer différents
types de données, d'applications et de connexions réseau. Différents espaces peuvent avoir
différentes règles pour le stockage de données, les autorisations d'application et le routage réseau.
Les espaces étaient auparavant appelés périmètres.
SSL
Secure Sockets Layer (protocole SSL)
395
Glossaire
Terminaux iOS
supervisés
Les terminaux supervisés sont configurés pour permettre un plus grand contrôle des fonctionnalités
des terminaux iOS. Pour activer la supervision des terminaux iOS appartenant à votre organisation,
vous pouvez utiliser Apple Configurator ou Apple Device Enrollment Program.
TCP
Transmission Control Protocol (protocole de contrôle de transmissions)
TGT
TGT (Ticket-Granting Ticket) est un ticket de service que le client d'un service Kerberos envoie au
TGS pour demander le ticket de service du service Kerberos.
TLS
Transport Layer Security (sécurité de la couche de transport)
USB
Universal Serial Bus (bus série universel)
VPN
Virtual Private Network (réseau privé virtuel)
xAuth
Authentification étendue
396
Informations juridiques
18
©2016 BlackBerry Limited. Les marques commerciales, y compris mais sans s'y limiter, BLACKBERRY, BES, la conception
stylistique de son EMBLÈME, ATHOC, la conception stylistique de son EMBLÈME, ATHOC et sa conception stylistique ainsi que
celle de PURPLE GLOBE, GOOD, GOOD WORK, la conception stylistique LOCK, MANYME, MOVIRTU, SECUSMART,
SECUSMART et les conceptions stylistiques associées, SECUSUITE, SECUVOICE, VIRTUAL SIM PLATFORM, WATCHDOX et
WORKLIFE sont des marques commerciales ou des marques déposées de BlackBerry Limited, ses filiales et/ou sociétés
affiliées, utilisées sous licence, dont les droits exclusifs sont expressément réservés. Toutes les autres marques commerciales
appartiennent à leurs propriétaires respectifs.
GOOD et son emblème sont des marques commerciales ou des marques déposées de BlackBerry Limited, ses filiales et/ou
sociétés affiliées, utilisées sous licence, et l'exclusivité des droits de ces marques est expressément réservée.
Android, Google Chrome et Google Playsont des marques commerciales de Google Inc. Apple, App Store, Apple Configurator,
iCloud, OS X et Safarisont des marques commerciales d'Apple Inc.Aruba et VIAsont des marques commerciales d'Aruba
Networks, Inc.Bell est une marque de Bell Canada.Bluetoothest une marque commerciale de Bluetooth SIG.Check Point et
VPN-1sont des marques commerciales de Check Point Software Technologies Ltd.Cisco, Cisco AnyConnect, Cisco IOS et
PIXsont des marques commerciales de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.F5is
a trademark of F5 Networks, Inc.HTC EVOest une marque commerciale de HTC Corporation.IBM, Domino, IBM Verse et
Notessont des marques commerciales d'International Business Machines Corporation, enregistrées dans de nombreux pays
dans le monde.iOSest une marque commerciale de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans d'autres
pays. iOS® est utilisé sous licence Apple Inc.Juniperest une marque commerciale de Juniper Networks, Inc.Kerberosest une
marque commerciale du Massachusetts Institute of Technology.Microsoft, Active Directory, ActiveSync, Windows et Windows
Phonesont des marques commerciales ou des marques déposées de Microsoft Corporation aux États-Unis et/ou dans d’autres
pays.OpenVPNest une marque commerciale d'OpenVPN Technologies, Inc.PGPest une marque commerciale de PGP
Corporation.Pulse Secureest une marque commerciale de Pulse Secure LLC.RSAest une marque commerciale de RSA
Security.SonicWALL et Mobile Connectsont des marques commerciales de Dell, Inc.Symantecest une marque ou une marque
déposée de Symantec Corporation ou de ses filiales aux États-Unis et dans d'autres pays.T-Mobileest une marque commerciale
de Deutsche Telekom AG. Wi-Fi, WPA et WPA2sont des marques commerciales de Wi-Fi Alliance.Entrust, Entrust IdentityGuard
et Entrust Authority Administration ServicesMarques commerciales d'Entrust, Inc.KNOX et Samsung KNOXsont des marques
commerciales de Samsung Electronics Co., Ltd.Toutes les autres marques commerciales appartiennent à leurs propriétaires
respectifs.
Cette documentation, y compris la documentation incluse pour référence telle que celle fournie ou mise à disposition sur le site
Web BlackBerry, est fournie ou mise à disposition « EN L'ÉTAT » et « TELLE QUELLE », sans condition ni garantie en tout genre
de la part de BlackBerry Limited et de ses sociétés affiliées (« BlackBerry »), et BlackBerry décline toute responsabilité en cas
d’erreur ou d'oubli typographique, technique ou autre inexactitude contenue dans ce document. Pour des raisons de protection
des secrets commerciaux et/ou des informations confidentielles et propriétaires de BlackBerry, cette documentation peut
décrire certains aspects de la technologie BlackBerry en termes généraux. BlackBerry se réserve le droit de modifier
périodiquement les informations contenues dans cette documentation. Cependant, BlackBerry ne s'engage en aucune
manière à vous communiquer en temps opportun les modifications, mises à jour, améliorations ou autres ajouts apportés à
cette documentation.
397
La présente documentation peut contenir des références à des sources d'informations, du matériel ou des logiciels, des
produits ou des services tiers, y compris des composants et du contenu tel que du contenu protégé par copyright et/ou des
sites Web tiers (ci-après dénommés collectivement « Produits et Services tiers »). BlackBerry ne contrôle pas et décline toute
responsabilité concernant les Produits et Services tiers, y compris, sans s'y limiter, le contenu, la précision, le respect du code
de la propriété intellectuelle, la compatibilité, les performances, la fiabilité, la légalité, l'éthique, les liens ou tout autre aspect
desdits Produits et Services tiers. La présence d'une référence aux Produits et Services tiers dans cette documentation ne
suppose aucunement que BlackBerry se porte garant des Produits et Services tiers ou de la tierce partie concernée.
SAUF DANS LA MESURE SPÉCIFIQUEMENT INTERDITE PAR LES LOIS EN VIGUEUR DANS VOTRE JURIDICTION, TOUTES LES
CONDITIONS OU GARANTIES DE TOUTE NATURE, EXPRESSES OU TACITES, NOTAMMENT (SANS LIMITATIONS) LES
CONDITIONS OU GARANTIES DE DURABILITÉ, D'ADÉQUATION À UNE UTILISATION OU À UN BUT PARTICULIER, DE
COMMERCIALISATION, DE QUALITÉ MARCHANDE, DE NON-INFRACTION, DE SATISFACTION DE LA QUALITÉ OU DE TITRE,
OU RÉSULTANT D'UNE LOI, D'UNE COUTUME, D'UNE PRATIQUE OU D'UN USAGE COMMERCIAL, OU EN RELATION AVEC
LA DOCUMENTATION OU SON UTILISATION, OU L'UTILISATION OU NON-UTILISATION D'UN LOGICIEL, MATÉRIEL, SERVICE
OU DES PRODUITS ET SERVICES TIERS CITÉS, SONT EXCLUES. VOUS POUVEZ JOUIR D'AUTRES DROITS QUI VARIENT
SELON L'ÉTAT OU LA PROVINCE. CERTAINES JURIDICTIONS N'AUTORISENT PAS L'EXCLUSION OU LA LIMITATION DES
GARANTIES ET CONDITIONS IMPLICITES. DANS LA MESURE AUTORISÉE PAR LES LOIS, TOUTE GARANTIE OU CONDITION
IMPLICITE RELATIVE À LA DOCUMENTATION, DANS LA MESURE OÙ ELLES NE PEUVENT PAS ÊTRE EXCLUES EN VERTU DES
CLAUSES PRÉCÉDENTES, MAIS PEUVENT ÊTRE LIMITÉES, SONT PAR LES PRÉSENTES LIMITÉES À QUATRE-VINGT-DIX (90)
JOURS À COMPTER DE LA DATE DE LA PREMIÈRE ACQUISITION DE LA DOCUMENTATION OU DE L'ARTICLE QUI FAIT
L'OBJET D'UNE RÉCLAMATION.
DANS LA MESURE MAXIMALE PERMISE PAR LES LOIS EN VIGUEUR DANS VOTRE JURIDICTION, EN AUCUN CAS
BLACKBERRY N’EST RESPONSABLE DES DOMMAGES LIÉS À LA PRÉSENTE DOCUMENTATION OU À SON UTILISATION, OU
À L’UTILISATION OU NON UTILISATION DES LOGICIELS, DU MATÉRIEL, DES SERVICES OU DES PRODUITS ET SERVICES
TIERS MENTIONNÉS DANS LES PRÉSENTES, ET NOTAMMENT DES DOMMAGES SUIVANTS : DIRECTS, EXEMPLAIRES,
ACCIDENTELS, INDIRECTS, SPÉCIAUX, PUNITIFS OU AGGRAVÉS, DES DOMMAGES LIÉS À UNE PERTE DE PROFITS OU DE
REVENUS, UN MANQUE À GAGNER, UNE INTERRUPTION D’ACTIVITÉ, UNE PERTE D’INFORMATIONS COMMERCIALES, UNE
PERTE D’OPPORTUNITÉS COMMERCIALES, LA CORRUPTION OU LA PERTE DE DONNÉES, LE NON ENVOI OU LA NON
RÉCEPTION DE DONNÉES, DES PROBLÈMES LIÉS À DES APPLICATIONS UTILISÉES AVEC DES PRODUITS OU SERVICES
BLACKBERRY, DES COÛTS D’INDISPONIBILITÉ, LA PERTE D’UTILISATION DES PRODUITS OU SERVICES RIM EN TOUT OU
EN PARTIE, OU DE TOUT SERVICE DE COMMUNICATION, DU COÛT DE BIENS DE SUBSTITUTION, DES FRAIS DE GARANTIE,
DES ÉQUIPEMENTS OU SERVICES, DES COÛTS DE CAPITAL, OU AUTRES PERTES FINANCIÈRES SIMILAIRES, PRÉVISIBLES
OU NON, MÊME SI BLACKBERRY A ÉTÉ INFORMÉ DE LA POSSIBILITÉ DE TELS DOMMAGES.
DANS LA MESURE MAXIMALE PERMISE PAR LES LOIS APPLICABLES DANS VOTRE JURIDICTION, BLACKBERRY N'EST
NULLEMENT TENU PAR DES OBLIGATIONS, DEVOIRS OU RESPONSABILITÉS, CONTRACTUELS, DÉLICTUELS OU AUTRE,
PAS MÊME PAR UNE RESPONSABILITÉ EN CAS DE NÉGLIGENCE OU RESPONSABILITÉ STRICTE ET NE VOUS EST
REDEVABLE EN RIEN.
LES LIMITATIONS, EXCLUSIONS ET CLAUSES DE NON-RESPONSABILITÉ CONTENUES DANS LES PRÉSENTES
S'APPLIQUENT : (A) INDÉPENDAMMENT DE LA NATURE DE LA CAUSE D’ACTION, DEMANDE OU ACTION ENTREPRISE PAR
VOUS, NOTAMMENT POUR RUPTURE DE CONTRAT, NÉGLIGENCE, FAUTE, RESPONSABILITÉ STRICTE OU TOUT AUTRE
THÉORIE LÉGALE, ET RESTENT APPLICABLES EN CAS DE RUPTURES SUBSTANTIELLES OU DE MANQUEMENT AU BUT
ESSENTIEL DU PRÉSENT CONTRAT OU DE TOUT RECOURS ENVISAGEABLE PAR LES PRÉSENTES ; ET (B) À BLACKBERRY ET
À SES FILIALES, LEURS AYANT-DROIT, REPRÉSENTANTS, AGENTS, FOURNISSEURS (NOTAMMENT LES FOURNISSEURS DE
398
SERVICES), REVENDEURS AGRÉÉS BLACKBERRY (NOTAMMENT LES FOURNISSEURS DE SERVICES) ET LEURS
DIRECTEURS, EMPLOYÉS ET SOUS-TRAITANTS RESPECTIFS.
OUTRE LES LIMITATIONS ET EXCLUSIONS SUSMENTIONNÉES, EN AUCUN CAS, LES DIRECTEURS, EMPLOYÉS, AGENTS,
DISTRIBUTEURS, FOURNISSEURS, SOUS-TRAITANTS INDÉPENDANTS DE BLACKBERRY OU DE SES FILIALES N'ONT UNE
RESPONSABILITÉ CONSÉCUTIVE OU RELATIVE À LA PRÉSENTE DOCUMENTATION.
Avant de vous abonner, d'installer ou d'utiliser des Produits et Services tiers, il est de votre responsabilité de vérifier que votre
fournisseur de services sans fil prend en charge toutes les fonctionnalités. Certains fournisseurs de services sans fil peuvent ne
pas proposer de fonctionnalités de navigation Internet avec un abonnement à BlackBerry® Internet Service. Vérifiez la
disponibilité, l'itinérance, les services et les fonctionnalités auprès de votre fournisseur de services. L'installation ou l'utilisation
de Produits et Services tiers avec des produits et services BlackBerry peut nécessiter un ou plusieurs brevets, marques
commerciales, licences de copyright ou autres licences à des fins de protection des droits d'autrui. Vous êtes seul responsable
de votre décision d'utiliser ou non les Produits et Services tiers et si cela nécessite l'obtention de licences tierces. Si de telles
licences sont requises, vous êtes seul responsable de leur acquisition. Vous ne devez pas installer ou utiliser de Produits et
Services tiers avant d'avoir acquis la totalité des licences nécessaires. Les Produits et Services tiers fournis avec les produits et
services BlackBerry vous sont fournis à toutes fins utiles « EN L'ÉTAT » sans conditions ni garanties expresses ou tacites
d'aucune sorte par BlackBerry, et BlackBerry n'engage aucune responsabilité sur les Produits et Services tiers. L'utilisation que
vous faites des Produits et Services tiers est régie par et dépendante de votre acceptation des termes des licences et autres
accords distincts applicables à cet égard avec d'autres parties, sauf dans la limite couverte expressément par une licence ou
autre accord conclu avec BlackBerry.
Les conditions d'utilisation de tout produit ou service BlackBerry sont stipulées dans une licence ou autre accord distinct
conclu avec BlackBerry à cet égard. LE CONTENU DE CETTE DOCUMENTATION N'EST PAS DESTINÉ À REMPLACER LES
ACCORDS OU GARANTIES EXPRÈS ET ÉCRITS FOURNIS PAR BLACKBERRY POUR UNE PARTIE DES PRODUITS OU SERVICES
BLACKBERRY AUTRES QUE CETTE DOCUMENTATION.
BlackBerry Enterprise Software incorpore des éléments logiciels tiers. La licence et les informations de copyright associées à
ces logiciels sont disponibles à l'adresse http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp.
BlackBerry Limited
2200 University Avenue East
Waterloo, Ontario
Canada N2K 0A7
BlackBerry UK Limited
200 Bath Road
Slough, Berkshire SL1 3XE
Royaume-Uni
Publié au Canada
399

Administration

Transcription

Documents pareils

III. Terminaux et filières

Présentation PowerPoint

FICHE DE RENSEIGNEMENT DU TERMINAL CARTE

Quel terminal vous faut-il?

Architecture réseau GSM

Support Universel Nokia CR-39

Volez jusqu`à Orlando

Télécharger la documentation du terminal de pointage - BSA